MANAGEMENT DE LA SECURITE DES SI

« La défense en profondeur »

© copyright – Août 2021

Présentation du Formateur

Issa brings his expertise gained from exposures to  PECB Accredited Trainer
ecosystems as diverse as IT companies, Network  VSAT&DCME Expert,
security, and Telecommunications .  ISO-IEC27001 LI
In his various capacities as Information Technology  ISO27005 risk manager
and Network Security Expert, he has demonstrated  ISO27032 LCM
valuable skills in IT Industry.  MEHARI (risk manager)
Issa holds a degree in Telecommunication,  PRINCE2®
Electronics.  ITILv3®
 pfsense & ALLOT ACTE
dialloissa@outlook.com  ISM (Scrum Master)
 COBIT®
+225 0789 797 209  DevOps
0556 500 200  CND
 CHFI
https://www.linkedin.com/in/issa-diallo-82820
0142/
Les consignes pour suivre la formation
PRESENTEZ VOUS …
 DISCLAIMER !

Le but est d’apprendre à vous proteger

et non de nuire au autres,

CAMPC et Moi même ne sommes

nullement responsible de vos actes
OBJECTIFS
 Être capable de présenter la norme ISO27001, les processus de sécurité qui lui
sont associés et la démarche de certification
 Savoir présenter la norme ISO 27002 et les mesures de sécurité
 Pouvoir comprendre les contextes d'implémentation des mesures de sécurité et
leur intégration dans l'organisation générale de la sécurité
 Apprendre à s'exercer à la sélection et l'approfondissement de mesures de
sécurité depuis l'appréciation des risques, les pièges à éviter et l’audit de ces
mesures
 Pouvoir disposer d'une vue globale des référentiels existants, des guides
d'implémentation ou des bonnes pratiques des mesures de sécurité
PREREQUIS

Culture générale dans le domaine l’information

PUBLIC
 Toute personne qui souhaite prendre connaissance management de la
sécurité des systèmes d’information (normes ISO 27001, 27002 … ),
améliorer leur maîtrise des mesures de sécurité de l'information et enrichir
leur connaissance des référentiels existants pour faciliter leur mise en
œuvre
 Opérationnels (techniques ou métiers) et auditeurs souhaitant améliorer
leur compréhension des mesures propres à la SSI
 RSSI souhaitant avoir un panorama des mesures, organiser leur plan
d'action, ou dynamiser les échanges avec les opérationnels
 Managers
Definition des Termes utilisés

Tous les termes employés durant cette formation peuvent être consultés dans le glossaire
SANS
À l’adresse suivante :

https://www.sans.org/security-resources/glossary-of-terms/
LES CYBERATTAQUES, UNE REALITE …

https://threatmap.checkpoint.com/
https://threatmap.fortiguard.com/
 MODULE #1 :

MANAGEMENT DE LA SECURITE DU SYSTEME D’INFORMATION

Agenda
 ISO 27001
 A BRIEF HISTORY OF ISO27K
 PLAN-DO-CHECK-ACT
 CONTROL CLAUSES
 IMPLEMENTATION PROCESS CYCLE
 BENEFITS
 INFORMATION SECURITY VISION
 WHO IS RESPONSIBLE?
 CORPORATE INFORMATION SECURITY POLICY
 PHYSICAL SECURITY
 PASSWORD GUIDELINES
 INTERNET USAGE
 E-MAIL USAGE
 SECURITY INCIDENTS
 RESPONSIBILITIES
ISO/IEC 27001 – JTC 1
• ISO/IEC 27001 EST UNE NORME DE SYSTÈME DE
GESTION DE LA SÉCURITÉ DE L'INFORMATION
(SMSI) PUBLIÉE PAR L’ISO & IEC.

• ELLE SPÉCIFIE LES EXIGENCES POUR ÉTABLIR,

METTRE EN ŒUVRE, EXPLOITER, SURVEILLER,
RÉVISER,MAINTENIR ET AMÉLIORER UN
SYSTÈME DE GESTION DE LA SÉCURITÉ DE
L'INFORMATION (SGSI) DOCUMENTÉ AU SEIN
D'UNORGANISATION

• ELLE EST CONÇUE POUR GARANTIR LA

SÉLECTION DE CONTRÔLES DE SÉCURITÉ
ADÉQUATS ET PROPORTIONNÉS AFIN DE
PROTÉGERLES ACTIFS INFORMATIONNELS
TRADUIT AVEC WWW.DEEPL.COM/TRANSLATOR
(VERSION GRATUITE)
SMSI - SCOPE
A brief history of ISO27k
1990’s
• Information Security Management Code of Practice produced by a UK government-
sponsored working group
• Became British Standard BS7799

2000’s
• Adopted by ISO/IEC
• Became ISO/IEC 17799 (later renumbered ISO/IEC 27002)
• ISO/IEC 27001 published & certification scheme started
Now
• Expanding into a suite of information security standards (known as “ISO27k”)
• Updated and reissued every few years
ISO 27001
• Concerns the management of information security, not just IT/technical security
• Formally specifies a management system
• Uses Plan, Do, Check, Act (PDCA) to achieve, maintain and improve alignment of
security with risks
• Covers all types of organizations (e.g. commercial companies, government agencies,
not-for-profit organizations) and all sizes
• Thousands of organizations worldwide have been certified compliant
La roue de deming (Plan-Do-Check-Act)
LA ROUE DE DEMING DANS UN
SMSI
CLAUSES DE CONTRÔLE
INFORMATION ORGANISATION OF ASSET HUMAIN RESOURCE
SECURITY POLICY INFORMATION SECURITY MANAGEMENT SECURITY

PHYSICAL SECURITY
DISPONIBILI
TE ACCESS CONTROL

INFORMATION
INTEGRIT CONFIDENTIALIT
E E

INCIDENT MANAGEMENT SYSTEM DEVELOPMENT COMPLIANCE

& MAINTENANCE

COMMUNICATION & INCIDENT BUSINESS BUSINESS

OPERATIONS MANAGEMENT MANAGEMENT CONTINUITY CONTINUITY
CLAUSES DE CONTRÔLE

 Information security policy - management direction

 Organization of information security - management framework for implementation
 Asset management – assessment, classification and protection of valuable
information assets
 HR security – security for joiners, movers and leavers
 Physical & environmental security - prevents unauthorized access, theft,
compromise, damage to information and computing facilities, power cuts
CLAUSES DE CONTRÔLE
• Communications & operations management - ensures the correct and secure operation of
IT
• Access control – restrict unauthorized access to information assets
• Information systems acquisition, development & maintenance – build security into
systems
• Information security incident management – deal sensibly with security incidents that
arise
• Business continuity management – maintain essential business processes and restore any
that fail
• Compliance - avoid breaching laws, regulations, policies and other security obligations
 CYCLE DU
PROCESSUS DE
MISE EN ŒUVRE
D’UN SMSI
POURQUOI METTRE EN PLACE UN
SMSI ?
 ENGAGEMENT DÉMONTRABLE DE
L'ORGANISATION EN MATIÈRE DE SÉCURITÉ
 CONFORMITÉ LÉGALE ET RÉGLEMENTAIRE
 MEILLEURE GESTION DES RISQUES
 CRÉDIBILITÉ, CONFIANCE ET ASSURANCE
COMMERCIALES
 RÉDUCTION DES COÛTS
 ORIENTATION CLAIRE DES EMPLOYÉS ET
SENSIBILISATION ACCRUE
VISION DE LA SÉCURITÉ DE L'INFORMATION

VISION
L'ORGANISATION EST RECONNUE COMME UN LEADER DU SECTEUR DE LA
SÉCURITÉ DE L'INFORMATION.

MISSION
CONCEVOIR, METTRE EN ŒUVRE, EXPLOITER, GÉRER ET MAINTENIR UN
SYSTÈME DE GESTION DE LA SÉCURITÉ DE L'INFORMATION CONFORME AUX
NORMES INTERNATIONLES INCORPORANT LES BONNES PRATIQUES DE
SÉCURITÉ GÉNÉRALEMENT ACCEPTÉES.
QUI EST RESPONSABLE ?
 Comité de gestion de la sécurité de l'information
 Responsable de la sécurité de l'information/CISO
 Équipe de réponse aux incidents
 Équipe de continuité des activités
 Informatique, juridique/conformité, RH, risques et autres départements
 Comité d'audit

 Enfin, et surtout, vous

Information security is everyone’s responsibility

POLITIQUE DE SÉCURITÉ DE L'INFORMATION DE
L'ENTREPRISE

La politique doit être signée par le « PDG »

et
mandatée par la direction générale

Elle doit être également disponible sur

l'intranet de l’organisme
La Politique de sécurité
La définition d’une politique de sécurité est cruciale dans la définition d’un
programme de sécurité Informatique;
Elle doit couvrir tous les aspects de l’entreprise :

 Physique ( Camera de surveillance, CA, Salle machine ..)

 Technique ( Firewall, SIEM, …
 Administrative ( Process, organisation SOC … )
LA SECURITE PHYSIQUE

 Lire et suivre les politiques et procédures de sécurité

 Consultez le service d'assistance informatique pour obtenir des conseils sur
la plupart des questions de sécurité de l'information.

 Permettre à des visiteurs non autorisés d'entrer dans les locaux

 Apporter des armes, des matériaux dangereux/combustibles, des appareils
d'enregistrement, etc., en particulier dans les zones sécurisées.
 Utiliser des appareils informatiques personnels à des fins professionnelles,
sauf autorisation expresse de la direction.
LA SECURITE PHYSIQUE
LA SECURITE PHYSIQUE
BONNES PRATIQUE SUR LES MOTS DE PASSE

 Utilisez des phrases de passe longues et compliquées - des phrases entières si possible.
 Réservez vos phrases de passe les plus forts aux systèmes de haute sécurité (ne réutilisez pas la
même phrase de passe partout).
 Utilisez un gestionnaire de coffre-fort de mots de passe ( 1Password, Dashline ... )

 Utilisez des mots de passe courts ou faciles à deviner

 Écrire le mot de passe ou le stocker en texte clair
 Partager les mots de passe par téléphone ou par courrier
BONNES PRATIQUE SUR LES MOTS DE PASSE

CLIC TO SEE VIDEO

UTILISATION DE L’INTERNET

 utiliser les installations Internet de l'entreprise uniquement à des fins professionnelles légitimes
et autorisées

 Évitez les sites Web qui pourraient être classés comme obséquieux, racistes,
offensants ou illégaux - tout ce qui pourrait être embarrassant.
 N'accédez pas aux sites de vente aux enchères ou d'achat en ligne, sauf
autorisation de votre responsable.
 Ne piratez pas !
 Ne téléchargez pas de logiciels commerciaux ou d'autres documents protégés
par le droit d'auteur sans la licence appropriée et l'autorisation de votre
responsable.
 UTILISATION DE L’INTERNET

CLIC TO SEE VIDEO – SITE MARCHAND

CLIC TO SEE VIDEO – CHEVAL DE TROIE

UTILISATION DES E-MAILS
LES INCIDENTS DE SECURITE
LES INCIDENTS DE SECURITE
RESPONSABILITIES

 Veillez à ce que votre PC reçoive les mises à jour et les correctifs antivirus
 Verrouillez votre clavier (Windows-L) avant de laisser votre PC sans surveillance, et
déconnectez-vous à la fin de la journée
 Stockez vos informations précieuses (documents papier, CD, clés USB, etc.) en toute
sécurité, sous clé
 Effectuez régulièrement des sauvegardes de vos informations Remplissez vos
obligations en matière de sécurité :
o Respectez les lois sur la sécurité et la confidentialité, les droits d'auteur et les
licences, les accords de non-divulgation et les contrats
o Respectez les politiques et procédures de l'entreprise

 Restez à jour en matière de sécurité de l'information : visitez la zone de sécurité

de l'intranet lorsque vous avez un moment.
MERCI !