Académique Documents
Professionnel Documents
Culture Documents
é
c
u
r
i
t
é
d
e
s
d’information
e
s
d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
d
e
s
l’information s
d
’
i
Etude de cas
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
d
e
s
compétitivité s
d
’
i
Maintien de la disponibilité n
f
Intégrité
o
r
m
Confidentialité a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
d
e
s
sécurité de l’information s
t
l’information s
d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
d
e
s
e
Les systèmes de management s
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
d
e
s
e
Les systèmes de management s
d
’
•
i
Définition d’un système de management n
f
•
m
Apports des systèmes de management a
t
• Le modèle PDCA i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
s
Un système de management est un système permettant : y
s
t
è
m
- D’établir une politique e
s
- D’établir des objectifs d
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
s
C’est-à-dire un ensemble de mesures organisationnelles et y
s
Mesures d
’
techniques i
n
f
o
r
Situation
Politique Objectif à m
actuelle a
atteindre t
i
o
n
Mesures
organisationnelles
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
- Auditabilité r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
informatique généraux m
Service de recherche a
t
et développement i
o
n
Personnel
Personnel du Personnel du
service du service de
personnel comptabilité
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
d
’
Exemple: Généralement les personnes concernées par le système de i
n
management sont : f
o
r
m
- Les membres de la direction générale a
t
- Les principaux responsables de la direction générale i
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
s
Importance de l’écrit y
s
La formalisation des politiques et des procédures de l’entreprise est t
è
indispensable. m
e
Le système de management impose de passer à la traduction écrite car la s
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Auditabilité
s
y
s
Le système de management implique la mise en place d’un processus t
è
d’audit. m
e
Ceci implique aussi que l’entreprise doit formaliser ses procédures par s
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
investissement. ’
i
n
On peut citer trois apports: f
o
r
m
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
s
L’adoption de bonnes pratiques y
s
Tout organisme qui se lance dans la mise en place d’un système de t
è
management est quasiment obligé d’adopter les bonnes pratiques sur m
e
lesquelles se base ce dernier. s
d
’
Exemple: Pour un système de management de sécurité de l’information, il i
n
faut poser les bonnes questions pour adopter les mesures de f
o
sécurité appropriées aux besoins: r
m
a
t
- Quels sont les éléments les plus sensibles de l’entreprise? i
o
- Où déployer en priorité les mesures de sécurité ? n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
L’augmentation de fiabilité
s
y
s
L’augmentation de la fiabilité est une conséquence directe de l’adoption t
è
de bonnes pratiques , en plus, tout système de management impose la m
e
mise en place de mécanismes d’amélioration continue. s
d
’
Exemple: Mise en place d’une procédure de réaction aux incidents i
n
f
o
- Une tentative d’intrusion se produit dans le réseau r
m
- Les équipes savent ce qu’elles ont à faire et agissent pour limiter l’impact a
t
de cette attaque i
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
La confiance
s
y
s
Un système de management fiable fournit la confiance envers les parties t
è
prenantes. m
e
Une partie prenante est toute personne, groupe ou instance envers s
- Les clients o
n
- Les fournisseurs
- Les partenaires
- Les banques et les assurances
- Le personnel
- L’opinion publique
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Le modèle PDCA d
e
s
Le modèle PDCA d
e
s
s
y
s
Plan t
è
m
e
s
Do Act ’
i
n
f
o
r
m
a
Check t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Le modèle PDCA d
e
s
s
Exemple: Vue d’ensemble de mise en place d’un SMSI y
s
t
- La phase do / action: i
n
Mettre en œuvre les mesures de sécurité identifiées précédemment. f
o
r
m
- La phase check / vérification: a
t
Audit interne pour vérification de ce sui est mis en place est conforme aux i
politiques et aux procédures. o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Le modèle PDCA d
e
s
s
Exemple: Mise en place d’une solution de sécurité réseau y
s
t
d
- La phase do / action: ’
i
Configuration des pare-feux et des routeurs en traduisant cette matrice sous forme n
de règles d’accès. f
o
r
m
- La phase check / vérification: a
t
Vérification périodique des règles de pare-feux et des routeurs pour s’assurer s’elles i
correspondent bien à ce qui est spécifié dans la matrice de flux. o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
d
e
s
sécurité de l’information s
t
è
m
e
d
l’information « SMSI » ’
i
n
f
•
o
Phase Plan du SMSI r
m
• Phase Do du SMSI a
t
•
i
Phase Check du SMSI o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
l’information « SMSI » d
e
Phase Plan du SMSI s
s
y
s
Cette phase se découpe en quatre grandes étapes : t
è
m
Politique Périmètre e
s
d
’
i
l’information « SMSI » d
e
s
y
s
1. Définition de la politique et du périmètre t
è
À partir de la définition de ces deux points que s’articulera tout le travail du m
e
système de management: s
d
’
- Périmètre : i
n
f
Elle précise le niveau de sécurité qui sera pratiqué sur le périmètre défini.
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
l’information « SMSI » d
e
s
Phase Plan du SMSI s
y
s
Une étape qui doit respecter un cahier des charges qui exige les séquences m
e
suivantes: s
l’information « SMSI » d
e
s
y
s
2. Appréciation des risques t
è
m
e
- Identifier les personnes responsables: s
d
’
Il s’agit en général de celle qui connait le mieux la valeur et les i
n
conséquences d’une compromission en termes de disponibilité , d’intégrité f
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
l’information « SMSI » d
e
s
y
s
2. Appréciation des risques t
è
m
e
- Identifier les vulnérabilités : s
d
’
Une vulnérabilité est une propriété du bien qui l’expose à des menaces. i
n
Chaque actif recensé présente des vulnérabilités qui lui sont propres. f
o
r
m
- Exemple : Quelle est la vulnérabilité d’un ordinateur portable? a
t
i
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
l’information « SMSI » d
e
s
y
s
2. Appréciation des risques t
è
m
e
- Identifier les menaces : s
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
l’information « SMSI » d
e
s
y
s
2. Appréciation des risques t
è
m
e
- Identifier les impacts: s
d
’
L’évaluation des impacts revient à donner pour chaque actif une note en i
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
l’information « SMSI » d
e
s
y
s
2. Appréciation des risques t
è
m
d
Exemple : Pour un critère qui a une valeur allant de 0 (pour pas d’impact) à ’
i
3 (pour impact majeur) quelle sera la note pour les actifs « Fichier n
f
client » et « Serveur Pilotant Robot » pour une menace liée à o
r
« Ouverture de session sur domaine » qui est identifiée comme m
a
vulnérabilité. t
i
o
Confidentialité Intégrité Disponibilité n
Fichier Client 3 2 1
Serveur Pilotant 1 3 2
Robot
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
l’information « SMSI » d
e
s
y
s
2. Appréciation des risques t
è
m
e
- Évaluer la vraisemblance: s
d
’
C’est de remettre tous les biens d’information dans leur contexte en i
considérant les mesures de sécurité qui sont déjà en place pour déterminer n
f
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
l’information « SMSI » d
e
s
Phase Plan du SMSI s
y
s
d
’
Déterminer le niveau de risque auquel le système est exposé. i
n
Pour chaque paire menace-vulnérabilité, le risque dépend de: f
o
r
m
- La vraisemblance que la source d’une menace tente l’exploit; a
t
- L’ampleur de l’impact d’un tel exploit; i
tel exploit.
l’information « SMSI » d
e
s
y
s
2. Appréciation des risques t
è
m
e
- Estimer les niveaux de risques: s
d
Impact bas Impact moyen Impact haut ’
i
(10) (50) (100) n
f
Vraisemblance BAS MOYEN HAUT o
haute 10 x 1.0 = 10 50 x 1.0 = 50 100 x 1.0 = 100 r
m
1.0 a
t
Vraisemblance BAS MOYEN MOYEN i
o
moyenne 10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50 n
0.5
Vraisemblance BAS BAS BAS
basse 10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
0.1
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
l’information « SMSI » d
e
s
y
s
2. Appréciation des risques t
è
m
e
- Estimer les niveaux de risques: s
d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
l’information « SMSI » d
e
s
y
s
3. Traitement du risque et identification du risque résiduel t
è
On identifie quatre traitements possibles m
e
s
- L’acceptation: d
’
i
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
l’information « SMSI » d
e
s
y
s
3. Traitement du risque et identification du risque résiduel t
è
m
e
- L’évitement: s
d
’
Dans le cas ou les conséquences sont jugées inacceptables pour l’entreprise. i
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
l’information « SMSI » d
e
s
Phase Plan du SMSI s
y
s
d
’
Dans le cas où l’entreprise ne peut pas mettre en place les mesures de i
n
sécurité nécessaires pour réduire le risque, elle peut choisir de de le f
o
transférer. r
m
Il existe deux types de transfert : a
t
i
- La sous-traitance
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
l’information « SMSI » d
e
s
y
s
3. Traitement du risque et identification du risque résiduel t
è
m
e
- Le transfert: s
d
’
Exemple : La souscription d’une assurance i
n
L’incendie est un risque qu’on peut pas éviter, dans ce cas l’assurance f
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
t
é
l’information « SMSI » s
s
Phase Plan du SMSI y
s
t
è
- La réduction: d
’
i
n
Il consiste à mettre en place toutes les mesures techniques et f
o
organisationnelles afin de réduire le risque à niveau jugé acceptable. r
m
c’est le traitement le plus souvent sélectionné. a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
l’information « SMSI » d
e
s
y
s
3. Traitement du risque et identification du risque résiduel t
è
m
e
- L’identification du risque résiduel: s
d
’
Le risque résiduel est celui qui reste une fois que l’on a mis en place les i
n
mesures de sécurité. f
o
r
m
Si le risque résiduel est jugé inacceptable, il est nécessaire d’appliquer des a
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
l’information « SMSI » d
e
s
y
s
4. Sélection des mesures de sécurité t
è
m
e
Nous avons vu dans l’étape précédente que le traitement le plus souvent s
retenu est la réduction du risque. Il faudra donc, pour chacun de ces risques, d
’
identifier les mesures de sécurité qui permettront de le réduire de façon i
raisonnable. n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
l’information « SMSI » d
e
s
Phase Do du SMSI s
y
s
t
Les objectifs on été fixés lors de la phase Plan. Maintenant qu’ils è
m
sont fixés, encore faut-il les mettre en œuvre. C’est le but de la e
s
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
l’information « SMSI » d
e
Phase Do du SMSI s
s
y
s
place. d
’
- Certaines autres ne le sont que partiellement. i
n
- Certaines mesures doivent être intégralement déployées, mais leur f
o
mise en œuvre est simple. r
m
- D’autres mesures de sécurité nécessitent, en revanche, un long travail a
t
de préparation. i
o
n
l’information « SMSI » d
e
Phase Do du SMSI
s
s
y
s
d
’
- La liste des actions à entreprendre. i
n
- Les moyens nécessaires. f
o
- La définition des responsabilités et des priorités en matière de gestion r
m
des risques de sécurité de l’information. a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
l’information « SMSI » d
e
s
Phase Do du SMSI s
y
s
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
l’information « SMSI » d
e
s
Phase Do du SMSI s
y
s
utilisateurs. a
t
i
o
- Les indicateurs de conformité: n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
l’information « SMSI » d
e
Phase Do du SMSI
s
s
y
s
d
’
- Formation: i
n
Elle s’adresse à un public ciblé pour transmettre une connaissance f
o
spécifique. Elle est nécessaire pour le personnel pour savoir se servir des r
m
outils de sécurité installés. a
t
i
o
- Sensibilisation: n
l’information « SMSI » d
e
s
Phase Do du SMSI s
y
s
- Financières a
t
- Matérielles i
o
- Logicielles n
l’information « SMSI » d
e
Phase Do du SMSI s
s
y
s
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
l’information « SMSI » d
e
Phase Do du SMSI s
s
y
s
d
’
- Le temps de détection ajouté au temps de réaction doit être inférieur au i
n
temps nécessaire à l’agresseur pour réussir son attaque. f
o
r
Temps nécessaire à une attaque avec succès m
a
t
Temps de détection Temps de réaction i
o
n
Marge
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
l’information « SMSI » d
e
s
y
s
La mise en place de moyens de contrôle ont le but de surveiller en t
è
permanence: m
e
s
d
- L’efficacité du système ’
i
cette exigence: i
o
n
l’information « SMSI » d
e
s
y
s
- La conformité d
’
- L’efficacité du système de management i
n
f
o
Les audites internes sont planifiés à l’avance, et tout le personnel r
m
concerné est informé des dates. a
t
i
o
L’auditeur étudie les documents pertinents: n
- Politiques
- Procédures
- Enregistrements
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
l’information « SMSI » d
e
s
y
s
De préférence, l’audit doit être effectuée par des personnes n’ayant pas m
e
d
’
Le périmètre ou le champs de d’audit peut couvrir l’ensemble du SMSI: i
n
f
o
- L’application de toute les clause r
m
- L’application de les mesures de sécurité sélectionnées dont le SOA a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
l’information « SMSI » d
e
s
y
s
Le contrôle interne t
è
d
’
Le but est de vérifier que les employés appliquent les procédures i
n
correctement en dehors au quotidien hors des périodes d’audit. f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
l’information « SMSI » d
e
s
Phase Check du SMSI s
y
s
SMSI par rapport à son environnement. Pour cela il faut prendre du recul. i
n
- Revues ponctuelle
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
l’information « SMSI » d
e
s
y
s
d
’
- La revue de direction i
n
C’est une réunion au cours de laquelle les managers jettent un regard f
o
rétrospectif sur le SMSI. Ils passent en revu tout les évènements notoires qui r
m
se sont déroulés pendant l’année. Cela leur permet d’avoir une vision a
t
globale de l’évolution du SMSI ainsi que son contexte. i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
l’information « SMSI » d
e
s
y
s
d
’
- La revue de direction i
n
Les points les plus importants généralement à l’ordre du jour de la revue f
o
sont les suivants: r
m
- Résultats des audites internes de l’année a
t
- Retours des parties prenantes i
l’information « SMSI » d
e
s
y
s
d
’
- Revues ponctuelle i
n
La revu annuelle du SMSI doit être tenu dans tous les cas. Cependant , f
o
certains changements significatifs dans la vie de l’entreprise peuvent r
m
justifier une révision ponctuelle et sans délai du SMSI. a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
l’information « SMSI » d
e
s
y
s
Un SMSI ne générant aucun constat en sortir de la phase check t
è
d
’
i
constatée. o
r
m
- Mesures de sécurité inefficaces ou insuffisamment a
t
performantes. i
o
- Risques oubliés. n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
l’information « SMSI » d
e
s
y
s
- Actions correctives n
f
o
- Actions préventives r
m
- Actions d’améliorations a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
l’information « SMSI » d
e
s
y
s
Actions correctives t
è
Elles sont entreprises lorsqu'un incident ou un écart a été constaté. Le but m
e
est d’agir d’abord sur les effets pour corriger l’écart, puis les causes pour s
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
l’information « SMSI » d
e
s
y
s
Actions préventives t
è
m
Elles sont lancées lorsqu’on détecte une situation qui risque d’entraîner un e
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
l’information « SMSI » d
e
s
Actions d’améliorations
t
è
m
Leur but n’est pas de corriger ni d’éviter un écart, mais d’améliorer la e
s
performance d’un processus du SMSI.
d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
d
e
s
sécurité de l’information s
t
è
m
e
d
’
i
•
o
Gouvernance de la sécurité r
m
• Documentation a
t
•
i
Audit interne et suivi des actions o
n
s
Le responsable de la mise en œuvre du SMSI se charge de rédiger y
s
quatre pages. m
e
s
Il doit être à l’écoute de deux courants qui ne vont pas toujours d
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Le contexte de l’organisme d
’
Beaucoup de questions doivent se poser et pour lesquelles on doit avoir i
des réponses: n
f
o
r
- La taille ou la structure de l’organisme? m
a
- Quels sites seront-ils couverts par le périmètre? t
i
- Sur quel niveau de sécurité est-il raisonnable de s’engager? o
n
- Combien coûtera le projet?
- Ne serait-il pas mieux de commencer par un périmètre plus restreint?
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Le périmètre s
y
s
- Définition du périmètre t
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Le périmètre
s
y
s
- Exemple; t
è
Une société qui fabrique des bons à gratter pour tous types de jeux et m
e
opérations promotionnelles. C’est une PME dont le siège social se trouve à s
Elle souhaite mettre en place un SMSI couvrant toutes les activités et tous ’
i
Le périmètre
s
y
s
- Exemple; t
Clients Fournisseurs è
m
e
s
Intérieur Extérieur d
’
Conception du SMSI du SMSI i
n
f
o
r
Schéma synoptique m
a
Génération t
Impression i
codes o
n
Livraison Stockage
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
La politique du SMSI s
y
- Politique de sécurité a
t
La politique du SMSI s
y
- Ses fournisseurs a
t
i
o
Gouvernance de la sécurité d
e
s
d
rôles et responsabilités en matière de sécurité de l’information. ’
i
n
f
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Gouvernance de la sécurité d
e
s
s
Modèle de gouvernance y
s
- Modèle empirique t
è
m
e
s
d
’
Amélioration Stratégie i
n
f
o
r
m
Contrôle Pilotage a
t
i
o
n
Maîtrise
Exploitation
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Gouvernance de la sécurité d
e
s
Modèle de gouvernance
s
y
s
- Modèle empirique t
è
- Stratégie : m
e
Cette fonction englobe toutes les activités consistant à faire en sorte s
l’entreprise o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Gouvernance de la sécurité d
e
s
Modèle de gouvernance
s
y
s
- Modèle empirique t
è
- Exploitation m
e
Cette fonction réunit toutes les activités consistant à fournir les services s
spécifications. t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Gouvernance de la sécurité d
e
s
s
Modèle de gouvernance y
s
- Modèle Cobit (Control Objectives for Information and related Technology) t
è
Cobit est un référentiel aidant à construire une gouvernance cohérente en m
e
matière de systèmes d’information. L’une de ses priorités consiste à faire en s
- Alignement stratégique m
a
- Apport de valeur t
i
- Gestion des risques o
n
- Gestion des ressources
- Mesure de performance
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Gouvernance de la sécurité d
e
s
s
Modèle de gouvernance y
s
- Modèle Cobit (Control Objectives for Information and related Technology) t
è
- Alignement stratégique m
e
Les objectifs stratégique de l’informatique doivent être en accord avec s
la stratégie de l’entreprise. d
’
i
n
- Apport de valeur f
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Gouvernance de la sécurité d
e
s
Modèle de gouvernance s
y
s
- Modèle Cobit (Control Objectives for Information and related Technology) t
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Gouvernance de la sécurité d
e
s
Modèle de gouvernance s
y
s
- Modèle Cobit (Control Objectives for Information and related Technology) t
d
- Planifier et organiser ’
i
- Acquérir et implémenter n
f
- Délivrer et supporter o
r
- Surveiller et évaluer m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Gouvernance de la sécurité d
e
s
Modèle de gouvernance s
y
s
- Modèle Cobit (Control Objectives for Information and related Technology) t
è
- Planifier et organiser 10 m
e
Les processus de cette catégorie contribuent à fixer une stratégie pour s
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Gouvernance de la sécurité d
e
s
Modèle de gouvernance
s
y
s
- Modèle Cobit (Control Objectives for Information and related Technology) t
è
- Acquérir et implémenter 7 m
e
Les processus de ce groupe permettent d’identifier les solutions à s
gérer le changement. ’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Gouvernance de la sécurité d
e
s
Modèle de gouvernance s
y
s
- Modèle Cobit (Control Objectives for Information and related Technology) t
è
- Délivrer et supporter 13 m
e
Les processus contribuent à la production informatique, en gérant tout s
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Gouvernance de la sécurité d
e
s
Modèle de gouvernance s
y
s
- Modèle Cobit (Control Objectives for Information and related Technology) t
è
- Surveiller et évaluer 4 m
e
Les actions entrant dans cette catégorie servent à surveiller la s
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Gouvernance de la sécurité d
e
s
Modèle de gouvernance
s
y
s
- Exemple: t
è
Voici une proposition de structure de gouvernance articulée autour de trois m
e
comités : s
d
’
- Comité de direction i
- Comité d’audit o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
Instance Comité de direction r
i
t
Membres Directeur général é
Responsables des services
DSI d
e
Invités en cas de besoin Responsable de sécurité des systèmes d’information
s
Responsable du SMSI
Experts techniques s
Directeur général y
Président s
t
Période Tous les deux mois è
m
e
Objectif Aligner la sécurité sur les priorité de la stratégie de l’entreprise
s
Missions 1. Fixer les priorités de la sécurité des systèmes d’information en fonction de la stratégie de l’entreprise d
2. Valider les bases du SMSI ’
i
Points à l’ordre du jour 1. Validation de la politique du sécurité du SMSI n
2. Fixation des critères d’acceptation des risques f
3. Approbation des risques résiduels proposés par le responsable du SMSI o
4. Autorisation d’exploiter le SMSI r
5. Validation de la gouvernance sécurité de l’entreprise m
a
En rapport avec 1. Le comité d’audit, qui présente une fois par an l’état de conformité et efficacité du SMSI t
2. Le comité du pilotage, qui propose une fois par an les révisions des points clés du SMSI i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
Instance Comité de pilotage de sécurité r
i
t
Membres Directeur général Responsables des services DSI é
Responsable sûreté Responsables des services concernés
d
Invités en cas de besoin Experts techniques Chefs de projets Utilisateurs clés
e
s
Président Responsable du SMSI
s
y
Période Tous les mois s
t
Objectif Faire en sort que la sécurité fournisse le niveau de confiance qui été convenu par le comité de direction è
m
e
Missions 1. Suivre les projets en cours s
2. Proposer des solutions aux difficultés qui se présentent
d
Points à l’ordre du jour 1. Point sur la communication et la formation en matière de sécurité
’
2. Point sur les actions correctives et préventives en cours
i
3. Analyse des dépenses et des besoins pour exploiter le SMSI n
4. Suivi des projets en cours f
5. Point sur les incidents de sécurité survenus dans la période o
r
m
Points à l’ordre du jour 1. Révision de la politique et du périmètre
a
une fois par an 2. Révision du SMSI
t
3. Révision de l’appréciation des risques
i
4. Étude du rapport de la commission de contrôle relatif aux audits de l’année
o
1. Le comité d’audit, pour proposer et suivre les actions correctives et préventives suite aux écarts n
En rapport avec
identifiés lors des audits
2. L’exploitation, pour contrôler la production et piloter les projets
3. Le comité de direction, pour lui proposer une fois par an les révisions des points clés du SMSI
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
Instance Comité d’audit r
i
t
Membres Responsable de l’audit interne é
Auditeurs internes
d
Invités en cas de besoin RSSI
e
Responsable de la sécurité du SMSI
s
Président Responsable du SMSI
s
y
Période Tous les deux mois s
t
Contrôler la conformité et l’éfficacité du SMSI è
Objectif m
e
Missions 1. Assurer le bon déroulement des audits s
2. Assurer un suivi de s actions correctives et préventives
d
Points à l’ordre du jour 1. Retour sur le déroulement des audits réalisés depuis la réunion précédente ’
2. Points sur les non-conformités relevées i
3. Validation des actions correctives et préventives n
4. Points sur les actions correctives et préventives en cours f
o
Points à l’ordre du jour 1. Validation du rapport annuel des audits présenter au comité de direction r
une fois par an 2. Validation de programme des audits de l’année à venir m
a
En rapport avec 1. Le COPIL de sécurité, en charge de pilotage de la mise en œuvre des actiions correctives et t
préventives en d’écart i
2. Le comité de direction, pour lui présenter l’état de conformité d’éfficacité du SMSI o
n
Rapporte Au comité de direction, une fois par an, afin de donner un état de l’éfficacité et de la conformité du SMSI
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Documentation d
e
s
d
clairement les réponses aux questions suivantes: ’
i
n
f
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Documentation d
e
- Exemple: s
o Approbation : t
i
Documentation d
e
- Exemple: s
o Version: d
’
version. f
o
Après toute modification, le document doit être formellement r
m
approuvé par son propriétaire. a
t
o Fin de vie: i
o
Tout document doit être retiré de son répertoire X par son n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Documentation d
e
- Exemple: s
o Types de documents: y
s
composée de : m
e
Un préfixe sur trois lettres dénotant le type de document s
Documentation d
e
- Exemple: s
d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Documentation d
e
- Exemple: s
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
- Audit interne s
d
- Comment mettre en place l’audit interne? ’
i
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Audit interne s
y
s
L’audit interne est le processus le plus important de la phase check du PDCA. Il t
è
consiste à vérifier la conformité des activités du SMSI vis-à-vis de leur m
application comme précisé dans les procédures internes ainsi que leur e
s
efficacité. d
’
i
Elle sert surtout à vérifier les trois points suivants: n
f
o
r
- l’absence d’écart entre les processus du SMSI. m
a
- L’application des mesures de sécurité sélectionnées dans le SOA t
i
conformément au modèle PDCA. o
n
- L’absence d’écart entre les procédures internes et leur application effective.
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
- PME è
m
- Grande entreprise ayant un service d’audit e
s
- Grande entreprise sans service d’audit d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
o Le tout en interne: è
m
différents services. d
’
i
o Stratégie d’externalisation: n
f
o Stratégie hybride: t
i
Puiser dans les deux approches à la fois. Les audits internes peuvent être o
n
réalisés par le personnel de l’entreprise tant dis qu’une fois par an, un
audit est commandité à un cabinet externe.
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Dans cette situation, l’idéal est de mutualiser les audits qualité et sécurité en è
m
d
Pour certains points du SMSI qui nécessitent une expertise technique, il est ’
i
alors possible de faire appel à un expert (interne ou externe)pour auditer ces n
f
points en particulier. o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
d
’
i
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
- Iso 27005 m
e
- Ebios s
d
- Mehari ’
i
- Octave n
f
o
r
m
Tous ces méthodes, même si chacune présente des particularités, a
t
partagent toutes deux points commun: i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
d
e
s
Sélection des mesures de sécurité s
d
’
La déclaration d’applicabilité doit être cohérente avec le i
n
périmètre et la politique du SMSI. f
o
r
m
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Formation et sensibilisation d
e
s
s
La formation et la sensibilisation sont deux aspects très y
s
d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Formation et sensibilisation d
e
s
s
- Formation y
s
Points importants t
è
Ce point peut être satisfait en demandant aux employés leur diplôme ou leur
certificat, si la formation qu’ils ont suivie est certifiante.
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Formation et sensibilisation d
e
s
s
- Formation y
s
Les besoins en formation t
è
- Pendant la construction du SMSI m
e
o Les proches collaborateurs du chef de projet s
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Formation et sensibilisation d
e
s
s
- Sensibilisation y
s
- Affichage m
e
- Circulaires s
- Messages électroniques d
’
- Intranet i
n
- E-learning f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
d
e
s
e
Les indicateurs du « SMSI » s
Les audits d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
d
e
s
e
Les indicateurs du « SMSI » s
• Approche méthodologique
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Avoir une vision claire de l’état du SMSI revient à avoir une vision s
y
s
claire de l’état, à la fois : t
è
m
e
d
- Des mesures de sécurité ’
i
n
f
Ceci n’est pas viable dans la réalité. Il faudra alors adopter une o
r
m
stratégie plus pragmatique, en se centrant sur l’essentiel: a
t
i
o
- Questions fondamentales n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Questions fondamentales s
y
s
Pour trouver un indicateur, il faut se poser systématiquement trois questions t
è
fondamentales: m
e
s
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Questions fondamentales s
y
s
- Ce fait est-il mesurable facilement? t
è
Il faut retenir que les faits qui peuvent être mesurés facilement. m
e
s
Le nombre d’heures perdues suite à un incident est difficile à évaluer. S’il s’agit ’
i
d’une application transactionnelle qui n’a pas réussi à démarrer le matin, il suffit n
f
de multiplier le temps d’indisponibilité par le nombre d’utilisateurs concernés. En o
r
revanche, s’il s’agit d’un incident d’exploitation plus complexe , nécessitant des m
a
interventions correctives de la part des informaticiens et des utilisateurs , le coût t
i
humain est beaucoup plus difficile à évaluer . o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Questions fondamentales s
y
s
- Comment obtenir concrètement cette mesure? t
d
- Exemple : Service indisponible ’
i
Dans ce cas , il y a un traitement ponctuel , car l’estimation globale du temps n
f
perdu est liée à chaque personne concernée et comment elle a évalué son temps o
r
perdu. m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Il est indispensable que les indicateurs soient faciles à obtenir, mieux vaut tout d
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
- Mauvais indicateurs s
t
Un indicateur mal choisi donnera une vision erronée sur le point du SMSI. è
m
e
s
- Exemple : Nombre de spams bloqués
d
L’augmentation ou la diminution du nombre de spams bloqués ne signifie pas ’
i
que le système de messagerie fonctionne bien ou bien il connait une baisse n
f
d’efficacité. o
r
m
a
- Indicateurs figés t
du SMSI. n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
- Indicateurs d’efficacité s
t
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
- Indicateurs de conformité s
t
Ils ont pour objectif de vérifier que les processus du SMSI fonctionnent è
m
conformément aux spécifications internes de l’entreprise et aux exigences e
s
d’une norme appliquée.
d
’
i
- Exemple : Réalisation des audits n
f
Considérons un SMSI dont la procédure d’audit interne stipule que quatre audits o
r
doivent être conduits en interne , au début de chaque trimestre. m
a
t
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
–forme antivirus. i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
- Indicateurs d’avancement s
t
Il est intéressant d’établir des indicateurs qui permettront d’avoir une idée sur è
m
l’état d’avancement du projet, vue que ce dernier ce fait par étape. e
s
d
- Exemple : Nombre de mesures de sécurité mises en place ’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Approche méthodologique d
e
s
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Approche méthodologique d
e
s
Ils sont des propriétés des objets, auxquelles on peut donner une valeur soit s
t
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Approche méthodologique d
e
s
Identifier la mesure s
y
s
La mesure est une variable qui se verra attribuer une valeur. t
è
On distingue deux types: m
e
s
- Mesure de base d
- Mesure dérivé ’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Approche méthodologique d
e
s
Identifier la mesure
s
y
s
- Mesure de base t
è
Directement issue des attributs. m
e
s
- Exemple: d
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Approche méthodologique d
e
s
Identifier la mesure s
y
- Mesure dérivé s
t
fonction. e
s
d
- Exemple: ’
i
Le nombre moyen d’action correctives décidées lors des tenues des réunions du n
f
comité de pilotage de sécurité est une mesure dérivée. o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Approche méthodologique d
e
s
C’est un algorithme qui combine plusieurs mesures. Il s’agit d’une formule qui s
t
pas. e
s
d
- Exemple: Nombre de réunion du comité de pilotage de sécurité ’
i
Si le nombre de réunion du comité de pilotage sécurité = nombre de réunion n
f
prévues, alors « satisfaisante ». o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Approche méthodologique d
e
s
Définir l’indicateur s
y
s
C’est l’interprétation concrète dans le SMSI de l’application du modèle t
è
analytique sur les mesures. m
e
s
- Exemple: d
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Approche méthodologique d
e
s
indisponibles. o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Approche méthodologique d
e
s
s
Objet y
s
t
è
Mesure de base m
e
s
Attribut Mesure dérivée d
’
Attribut i
n
Indicateur f
o
Attribut r
m
a
Critères de décision
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
d
e
s
l’information s
t
è
m
e
Les audits s
• Principes de base
d
’
i
• Principe de l’audit n
f
• Déroulement d’audit a
t
• La notion de non-conformité
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Les audits
i
t
é
Principes de base d
e
s
l’audité. s
d
’
i
Une meilleur façon de considérer les audits consiste à : n
f
o
r
m
- Ecrire noir sur blanc toutes les opérations qui seront réalisées. a
t
- À prévenir toutes les personnes concernées. i
o
ingérable.
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Les audits
i
t
é
Principe de l’audit d
e
s
- Déontologie s
d
- Impartialité ’
i
- Conscience professionnelle n
f
- Indépendance o
r
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Les audits t
é
Principe de l’audit d
e
s
Déontologie
s
y
s
Les auditeurs sont tenus à un devoir de discrétion, ils ne doivent pas dévoiler à t
è
l’audité des informations relatives à une autre société. m
e
s
Impartialité d
’
Les auditeurs doivent présenter leurs constats honnête indépendamment de i
n
l’opinion personnelle qu’ils se font des audités. f
o
r
Conscience professionnelle
m
a
t
L’auditeur a une mission très précise qu’il doit accomplir en un délai défini. i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Les audits
t
é
Principe de l’audit
d
e
s
s
Indépendance y
s
L’auditeur doit être indépendant par rapport à l’audité. Aussi sera-t-il tenu de t
è
refuser d’auditer un périmètre sur lequel il a déjà travaillé en tant que conseil. m
e
s
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Les audits
i
t
é
d
’
i
- Audits de base n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Les audits t
é
Audits de base s
y
s
L’audit peut être vu comme une relation tripartite entre un auditeur, un audité t
è
et un commanditaire. m
e
Il en existe trois : s
- Audit interne ’
i
- Audit seconde partie n
f
- Audit tierce partie o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Les audits
i
t
é
Audits de base s
y
s
- Audit interne t
C’est un audit commandé par l’entreprise pour se contrôler elle même ou bien è
m
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Les audits
i
t
é
Audits de base s
y
s
- Audit seconde partie t
C’est un audit dans lequel le commanditaire est une partie prenante (un client, è
m
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Les audits
i
t
é
Audits de base s
y
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Les audits
i
t
é
Déroulement d’audit d
e
s
d
- Premier contact ’
i
- Revu de la documentation n
f
- Plan d’audit o
r
m
- Réunion d’ouverture a
t
- Activités d’audit i
o
- Réunion de clôture n
- Après l’audit
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Les audits
i
t
é
Déroulement d’audit d
e
s
Premier contact s
y
Il permet de confirmer : s
t
- Objectif : è
m
Il varie énormément d’un cas à l’autre (Obtenir la certification iso 27001, par e
s
exemple).
d
’
i
- Champ : n
f
Il détermine l’étendu et les limites de l’audit. Il peut couvrir l’ensemble des o
r
exigences d’une norme, sur tous les processus du SMSI. m
- Critère :
Ce sont les références auxquelles sont confrontés les observations de
l’auditeur, ce qui lui permet de formuler les conformités ou des non-
conformités.
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Les audits
i
t
é
Déroulement d’audit d
e
s
Revu de la documentation s
y
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Les audits
i
t
é
Déroulement d’audit d
e
s
Plan d’audit s
y
audité se sont bien compris et qu’ils sont d’accord sur les points clés de l’audit. è
m
Le plan d’audit est composé de deux parties. e
s
d
La 1er partie récapitule les points convenu lors de la revu de documentation: ’
i
• Objectif, champ et critères n
f
• Dates de début et de fin , sites concernés o
• Questions logistiques a
t
• Clauses de confidentialité i
o
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Les audits
i
t
é
Déroulement d’audit d
e
s
Plan d’audit s
y
La seconde partie détaille les actions que prévoit l’auditeur, et notamment, les s
t
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Les audits
i
t
é
Déroulement d’audit d
e
s
Réunion d’ouverture s
y
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Les audits
i
t
é
Déroulement d’audit d
e
s
Activités d’audit s
y
s
L’auditeur aborde point par point tout ce qui est prévu dans le plan d’audit. t
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Les audits
i
t
é
Déroulement d’audit d
e
s
Réunion de clôture s
y
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Les audits t
é
Déroulement d’audit d
e
s
Après l’audit s
y
s
Aucune norme ne formalise officiellement les rapports d’audit de certification. t
è
Dans la plupart des cas, on y retrouve les sections suivantes: m
e
s
- Rappels d
Rappel des objectifs, champ et critères de l’audit, aussi les dates d’intervention ’
i
etc… n
f
- Constats o
r
Cette section constitue l’essentiel du rapport. L’auditeur y consigne tous les m
a
constats de conformité. t
i
- Fiche d’écart o
n
Elles récapitulent toutes les non-conformités identifiées lors de l’audit.
- Conclusion
Le rapport termine par la conclusion de l’auditeur, qui se limite généralement à
une simple phrase.
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
d
e
s
d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
l'information. m
e
s
d
Elle constitue une norme de gestion des risques liés à ’
i
l'information. n
f
o
r
m
C'est un guide pour la mise en œuvre de la gestion des risques de a
t
la sécurité de l'information. i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
s
Elle propose un processus d'appréciation, d'analyse et de y
s
sont :
• la communication au sein de l'entreprise et
• la supervision et la revue continue du risque.
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
s
y
s
t
è
m
e
s
d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
• Etablissement du contexte d
’
• Appréciation des risque i
•
n
Développement du plan de traitement des risques f
2. Do : m
a
3. Check : o
n
• Supervision continue et revue continue des risques
4. Act :
• Maintenir et améliorer le processus de gestion des risques
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
s
y
s
t
è
m
e
s
d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
s
y
Évitement du risque Soit on décide de ne rien faire car l'attaque et donc la menace est s
jugée improbable, et l'entreprise se dit prête à assumer les t
è
conséquences (impact) d'un sinistre m
Soit on décide de renoncer à l'activité source du risque ou à e
l'application concernée, en acceptant un manque à gagner que l'on s
Transfert du risque C'est le cas d'un contrat d'assurance qui assume une partie du risque à ’
i
la place de l'entreprise ou le cas de la sous-traitance d'une fonction à n
un prestataire f
o
Réduction du risque Par la mise en place de mesures de sécurité, techniques ou r
organisationnelles, permettant de combler les vulnérabilités; mais m
a
aussi par la dissuasion ou une bonne communication externe comme t
interne. i
o
Conservation du L'impact est considéré comme tolérable face au coût des mesures de
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
t
d
e
s
d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Méthodes s
y
s
Elles procèdent en plusieurs étapes. t
è
m
L’analyse doit couvrir tous les éléments qui peuvent contribuer à générer d
exploitation). n
f
o
r
o Analyser les risques m
a
L’évaluation du risque doit être effectuée en fonction de la durée et de la t
i
nature des pertes d’information. o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Méthodes
s
y
s
t
è
o Identifier les dispositions à prendre m
e
Les dispositions sont orientées vers la disponibilité (reprise rapide, s
restauration de l’infrastructure). ’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Méthodes s
y
s
t
è
- Mehari m
- Ebios e
s
- Octave / OctaveS d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Méthodes s
y
s
- Mehari t
è
En 1997, le Clusif a évolué de la méthode Marion à la méthode Mehari m
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Méthodes s
y
s
- Mehari t
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Méthodes
s
y
s
- Mehari t
è
m
e
s
d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Méthodes
s
y
s
- Ebios t
è
EBIOS (méthode pour l’expression des besoins et l’identification des m
objectifs de sécurité) est une méthode basée sur l’analyse des risques, elle
e
s
est apparue dans sa première version en 1995 et elle a été élaborée par la d
’
DCSSI en France. i
n
f
La méthode EBIOS permet l’expression : o
r
m
a
a) Des besoins de sécurité. t
i
o
b) L’identification des objectifs de sécurité pour un système à concevoir n
ou un système existant.
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Méthodes s
y
s
- Ebios t
è
La méthode EBIOS comprend quatre étapes: m
e
s
a) Étude de contexte :
d
cette première étape permet de prendre connaissance du domaine et ’
de le modéliser. i
n
f
o
b) Expression des besoins intrinsèques de sécurité : r
les besoins essentiels de sécurité doivent être issus des exigences m
a
opérationnelles du système indépendamment de toute solution t
i
technique. o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Méthodes s
y
s
- Ebios t
è
m
d) Identification des objectifs de sécurité déduits de : e
s
La confrontation des risques spécifiques aux besoins de sécurité .
d
La prise en compte des contraintes (en particulier la ’
réglementation). i
n
L’application de la politique de sécurité retenue pour les f
o
informations. r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Méthodes s
y
- Octave / Octave S s
t
Une méthode d’évaluation des vulnérabilités, des menaces, et des actifs è
m
opérationnels critiques publiée par le SEI ,(Software Engineering e
s
Institute) de la Carnegie Mellon University , université américaine
d
située à Pittsburgh très reconnue dans le domaine de la sécurité. ’
i
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Méthodes
s
y
s
- Octave / Octave S t
è
L’approche OCTAVE est avant tout basée sur les actifs de l’entreprise. m
d
a) Identifier les actifs importants de l’entreprise. ’
i
n
b) Centrer son analyse des risques sur ces actifs les plus critiques. f
o
r
m
c) Considérer les relations entre ces actifs ainsi que les menaces et les a
vulnérabilités pesant sur eux. t
i
o
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
Méthodes s
y
s
- Octave / Octave S t
è
La méthode OCTAVE se décompose en 8 processus répartis dans les 3 m
phases majeures de la méthode. e
s
PHASE PROCESSUS
d
’
Vue Identification des connaissances par les cadres i
Supérieurs n
Organisationnelle Identification des connaissances par les cadres
f
o
de l’opérationnel r
m
OCTAVE
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
Méthodes s
y
s
- Octave / Octave S t
è
m
e
s
PHASE PROCESSUS
d
’
Vue Dégager des informations sur l’organisation i
n
Organisationnelle f
o
Créer les profils de menace r
OCTAVE-S
m
a
t
Abdelouahed Ennibi