Académique Documents
Professionnel Documents
Culture Documents
-
Politique de sécurité
4
Elaborer une politique de sécurité (3)
La politique de sécurité informatique fixe les principes visant à
la législation en vigueur.
5
Elaborer une politique de sécurité (4)
Diriger la sécurité informatique passe donc par la définition d'une
des risques.
majeur. 6
Elaborer une politique de sécurité (5)
Une politique de sécurité traite de l'organisation de la sécurité, de
l'inventaire des risques, de la définition d'une architecture de sécurité et
de l'établissement d'un plan de continuité.
7
Elaborer une politique de sécurité (6)
Étapes d’une politique de sécurité
COBIT
EBIOS
MEHARI
OCTAVE
CRAMM
11
Elaborer une politique de sécurité (10)
Méthodes MARION
MARION (Méthode d'Analyse des Risques Informatiques et Optimisation par
Niveau) est une méthode d'audit de la sécurité d'une entreprise, proposée en 1983
par le CLUSIF (Club de la sécurité de l'information française) mais abandonnée en
1998 au profit de la méthode MEHARI;
situer l'entreprise auditée par rapport à un niveau jugé correct, et par rapport
au niveau atteint par les entreprises similaires;
1. Étude du contexte;
16
Elaborer une politique de sécurité (15)
Méthodes MEHARI
MEHARI s'articule autour de 3 types de livrables :
Objectifs
Métriques
Plan
17
d’action
Elaborer une politique de sécurité (16)
Méthodes MEHARI
19
Elaborer une politique de sécurité (18)
Méthodes OCTAVE
20
Elaborer une politique de sécurité (19)
Méthodes OCTAVE
CRAMM est réservée aux grandes entreprises car elle est assez
lourde (recourt à près de 3 000 points de contrôle).
23
Elaborer une politique de sécurité (22)
Méthodes CRAMM
24
Elaborer une politique de sécurité (23)
Mesures de sécurité
Après identification des risques, des mesures de sécurité sont mises en place.
Avant sinistre :
Après sinistre :
Le plan de secours doit être suivi comme un vrai projet et suivre une
méthodologie qui pourrait être en quatre phases suivies d’un audit :
Analyse stratégique;
Validation et suivi.
Phase 4:
3. Établir un budget;
32
Sensibiliser le personnel aux risques encourus
(Exemple de charte )
35
Protéger les terminaux mobiles
Maintenir le système à jour;
Eviter de télécharger les applications hors stores
officiels;
Vérifier les permissions des applications;
Ne pas rooter / jailbreaker son terminal;
S’équiper de solutions de sécurité.
36
Protéger les données personnelles
Sensibiliser les utilisateurs sur la question;
39
Faire régulièrement des tests de sécurité
Audit sécurité;
ISO 27001.
40
Disposer d’un plan d’action et de reprise en
cas d’attaque
Rédiger un plan de reprise et de continuité d’activité informatique
même sommaire, incluant la liste des intervenants.
41