Vous êtes sur la page 1sur 11

LES BONNES PRATIQUES

Présentation du 31 Mars 2005


Denis PELANCHON et Samuel
JANIN
Les bonnes pratiques pour
protéger son information contre les
atteintes en confidentialité et en
intégrité
La mise en place de bonnes pratiques

C’est avant tout une


question de maîtrise
des risques

La connaissance et l’évaluation des


risques permettent d’identifier les
objectifs de sécurité puis de
sélectionner les mesures à mettre en
place.

Page 4
Denis PELANCHON
Il n’y a pas que la technologie pour réduire le risque

Contre des menaces


d’origine humaine, la
technologie sera
toujours en retard.

Les mesures techniques sont


indispensables mais totalement
insuffisantes.

Page 5
Denis PELANCHON
Le traitement des risques à l’aide de bonnes pratiques

Exemple de couverture A elle seule, une


100 bonne pratique
Taux de 90 n’apporte que très
couverture
80 rarement un taux de
70 couverture suffisant.
60
50
40 Un risque est traité par un ensemble
de bonnes pratiques
30 complémentaires.
20
10 Une bonne pratique participe souvent
à la couverture partielle de plusieurs
0
Risque 1
risques.
Risque 2 Risque 3

BP1 BP2 BP3 BP4 BP5


Page 6
Denis PELANCHON
Il existe un référentiel international

L’ISO 17799 : code of


practice for
information security
management

Donne les grandes lignes et les


principes généraux pour initier,
mettre en place, maintenir et
améliorer la gestion de la sécurité de
l’information dans une organisation.

Page 7
Denis PELANCHON
Les briques de base pour se protéger contre certaines atteintes
à la confidentialité et à l’intégrité

1. Politique de sécurité de
l’information

2. Attribution de responsabilités

3. Sensibilisation et formation

4. Suivi des vulnérabilités

5. Gestion des incidents de sécurité

Page 8
Denis PELANCHON
Quelques exemples de bonnes pratiques pour se protéger contre
certaines atteintes à la confidentialité et à l’intégrité

Les ressources humaines


Les rôles et responsabilités des Les employés, sous-traitants et
employés, des sous-traitants et des tierces tierces parties devraient approuver et
parties devraient être définis et signer les termes et conditions de leur
documentés en conformité avec la contrat. Ces dernières devraient faire état
politique de sécurité de l‘information de des responsabilités qui incombent à
l’organisation. chacune des parties en termes de sécurité
de l’information.

Des vérifications de base devraient être


effectuées pour tout candidat à un poste, Les responsables hiérarchiques
sous-traitant et tierce partie, en conformité devraient exiger de leurs employés,
avec les lois, règlements et codes sous-traitants, et tierces parties qu’ils
d’éthique, et de façon proportionnée avec appliquent les règles de sécurité telles que
les nécessités professionnelles et le niveau définies dans la politique de sécurité et les
de classification des informations. procédures de l’organisation.

Page 9
Denis PELANCHON
Quelques exemples de bonnes pratiques pour se protéger contre
certaines atteintes à la confidentialité et à l’intégrité

Sécurité physique et
environnementale
Les points d’accès comme les zones de Avant toute réutilisation ou mise au rebut,
livraison ou de chargement et autre tous les éléments d’un équipement
endroits où des personnes non autorisées contenant des dispositifs de stockage
pourraient pénétrer, devraient être devraient être vérifiés pour s’assurer que
contrôlés et si possible isolés des les informations sensibles et les logiciels
équipements de traitement de sous licence ont été retirés ou ont été
l’information afin d’éviter les accès non écrasés de façon sécurisée.
autorisés.

Les câbles d’alimentation et de


télécommunication transportant des
informations ou servant de support à des
services devraient être protégés contre
les interceptions et les endommagements.

Page 10
Denis PELANCHON
Quelques exemples de bonnes pratiques pour se protéger contre
certaines atteintes à la confidentialité et à l’intégrité

Échanges d’informations Gestion des accès


Des politiques formelles d’échanges, des Des méthodes d’authentifications
procédures et des contrôles devraient être appropriées devraient être utilisées pour
mis en place pour protéger les échanges contrôler l’accès des utilisateurs distants.
d’informations au travers de tout types de
dispositifs de communication. Le management devrait procéder à des
revues des droits d’accès des utilisateurs,
Les médias contenant des informations à intervalles réguliers et selon un
devraient être protégés contre les accès processus formalisé.
non autorisés, les mauvais usages ou la
corruption pendant leur transport au-delà
La politique du bureau débarrassé de tout
des frontières physiques de l’organisation papier ou support de stockage amovible et
la politique de l’écran vide de toute
information devraient être adoptées.

Page 11
Denis PELANCHON