Académique Documents
Professionnel Documents
Culture Documents
Awatef HOMRI
Agence Nationale de la Sécurité Informatique
Awatef.homri@ansit.tn
1
Pourquoi utiliser ce service?
2
Utilisateurs du service
* Le RSSI peut faire appel aux structures spécialisées de son organisme pour répondre à des questions spécifiques du
questionnaire (exemple : RH sur les questions qui concernent le recrutement, le responsable de sécurité physique sur les
contrôles de sécurité sur le bâtiment et le data-center, le responsable juridique sur le cadre réglementaire applicable sur
3
Comment utiliser ce service ?
• Le représentant de l’organisme désirant faire une auto-évaluation de la sécurité de son
système d’information envoie une demande par email à audit@ansi.tn en fournissant les
informations relatives à son organisme.
• Les services de l’ANSI répondent à la requête par la création d’un compte utilisateur et
envoient les paramètres d’accès par mail au concerné.
4
Modules
5
M1 Définition du référentiel d’évaluation
– Permettre de définir une base des actions de sécurité organisée selon la structure suivante:
– L’action objet de la question est caractérisée par son type (exemple : organisationnel,
physique, technique).
6
M1 Définition du référentiel d’évaluation
7
M1 Définition du référentiel d’évaluation
8
M2 Mesure du niveau de maturité
• 2 (couverture moyenne de l’action de sécurité): action Planifiée à court terme -dans une année :
engagement clair et répartition des ressources nécessaires pour la mise en œuvre de l’action de sécurité.
• 1 (couverture faible de l’action de sécurité): action Planifiée à moyen/long terme (plus qu’une année) :
niveau initial/Déclenchement, l’entreprise a pris conscience de l’existence du problème et de la nécessité
de l’étudier.
• 0 (aucune couverture de l’action de sécurité): action non encore planifiée: inexistence/absence totale
de l’action, l’entreprise n’a même pas pris conscience qu’il s’agissait d’un problème à étudier.
9
M2 Mesure du niveau de maturité
10
M2 Mesure du niveau de maturité
Certaines actions contribuent à la qualité de mesure sans que leur mise en œuvre
soit indispensable.
12
M3 Exploitation et génération des résultats
Profil Etablissement
– Mener et gérer un projet d’évaluation
13
M3 Exploitation et génération des résultats
Profil Etablissement
– Mener et gérer un projet d’évaluation
14
M3 Exploitation et génération des résultats
Profil Etablissement
– Dashboard:
15
M3 Exploitation et génération des résultats
Profil Etablissement
Dashboard:
• Présentation du portrait global de la situation actuelle ainsi que pour
chacun(e) des domaines ou des catégories de sécurité avec les détails
nécessaires.
17
M3 Exploitation et génération des résultats
Profil Etablissement
– Dashboard: Situation actuelle:
18
M3 Exploitation et génération des résultats
Profil Etablissement
– Dashboard: Situation actuelle: Exemple:
19
M3 Exploitation et génération des résultats
Profil Etablissement
M3 Exploitation et génération des résultats
Profil Etablissement
M3 Exploitation et génération des résultats
Profil Etablissement
22
M3 Exploitation et génération des résultats
Profil Etablissement
23
M3 Exploitation et génération des résultats
Profil Etablissement
M3 Exploitation et génération des résultats
Profil Etablissement
M3 Exploitation et génération des résultats
Profil Etablissement
26
M3 Exploitation et génération des résultats
Profil Etablissement
27
M3 Exploitation et génération des résultats
Profil ANSI
– Administration
• Gestion du référentiel
• Gestion des systèmes de pondération
• Gestion des évaluations
• Autres:
Gestion des établissements
Gestion des utilisateurs
Gestion des paramètres:
• Echelle d’appréciation des niveaux de maturité
• Paramètres de questions (types des questions, profils
répondants)
• Délai d'expiration des projets d’évaluation
• Délai d'expiration des codes d'accès, etc.
28
M3 Exploitation et génération des résultats
Profil ANSI
Dashboard:
• Situation actuelle/à court terme/ à moyen terme
• du niveau de maturité global
• par secteur d’activité
• par catégorie d’établissements
• par classe d’établissement
• Répertorier les bonnes pratiques et les vulnérabilités les plus répandues,
• de tout ou d’un domaine
• d’une catégorie
• répartis par type d’action de sécurité
Highlight des pondérations importantes
• Comparer le niveau moyen de maturité d’une classe, d’un secteur d’activité
ou d’une catégorie d’établissements par rapport au niveau de maturité
global.
29
M3 Exploitation et génération des résultats
Profil ANSI
Dashboard: Exemple: Situation à moyen terme
–
30
Questions
?