informatique Structure de la sécurité en entreprise Entreprise fictive XYZ.Inc
• Entreprise XYZ fabrique des produits électroniques.
• C’est une PME de 350 employés. • Le RSSI (Responsable de la Sécurité du Système d’Information) de cette société a été chargé d’en sécuriser le SI (Système d’Information). Il a donc mis en place un certain nombre de processus opérationnels. • Il doit lancer des projets. • Il doit rédiger un certain nombre de documents. Répartition des rôles en matière de sécurité
• Le but de ce document est de présenter les rôles
et les responsabilités en matière de sécurité du système d’information dans l’entreprise XYZ: • les rôles et responsabilités, • Les instances de l’entreprise (responsable de la prise de décision concernant la sécurité). Le directeur général (DG)
• Fournit les moyens humains et financiers pour
assurer la sécurité du système d’information. • Valide l’ensemble des risques ainsi que le plan de traitement des risques présentés par le RSSI, au moins une fois par an. • Valide la politique de sécurité du système d’information (PSSI). Le directeur du système d’information (DSI)
• Nomme le RSSI, à qui il délègue le pilotage des actions de
sécurisation du système d’information. • Définit et tient à jour avec le RSSI les objectifs en matière de sécurité du SI. • Valide les risques portant sur les infrastructures dont il a la responsabilité, que lui présente le RSSI. • Valide et alloue les budgets nécessaires à la mise en place des mesures de sécurité. • Soutient le RSSI dans ses actions de sécurisation du SI. Le responsable de la sécurité du système d’information (RSSI)
• Définit la politique de sécurité du système d’information (PSSI) et
la maintient à jour. • La fait valider par la direction générale (DG). • S’assure du bon fonctionnement des mesures de sécurité existantes. • Vérifie l’efficacité des mesures, • Vérifie les documentations et modes opératoires (accessibles et à jour), • Définit et met en œuvre les plans d’actions pour sécuriser le système d’information. Le responsable de la sécurité du système d’information (RSSI) (suite …)
• Réalise et maintient une appréciation des risques sur la sécurité
pour l’ensemble du SI: • Fait valider les risques aux différents responsables concernés. • Est consulté dans tout projet comportant une dimension de sécurité. • Est chargé de coordonner les actions lors des incidents de sécurité. • Réalise une veille technologique : • Pour adapter les mesures de sécurité aux nouvelles menaces. Le responsable de la sécurité du système d’information (RSSI) (suite …)
• Réalise une veille sur les vulnérabilités :
• Pour prévenir les attaques exploitant celles connues. • Collabore avec tous les responsables de la DSI pour atteindre les objectifs de sécurité fixés. • Pilote les actions de sensibilisation à la sécurité du SI, conformément aux procédures établies. • Répond des pratiques de sécurité auprès des différents auditeurs habilités à contrôler le SI. Les membres de l’équipe sécurité
• Assistent le RSSI dans ses missions.
• Déclinent opérationnellement les règles définies par la politique de sécurité. • Effectuent les tâches de contrôle continu et de contrôle récurrent des mesures de sécurité : • contrôle contre les codes malveillants, contrôle contre les intrusions, revues périodiques de droits, etc. • Assistent le RSSI dans la veille en sécurité et pilotent les actions préventives. Le responsable de la production
• Décline les règles de sécurité s’appliquant aux systèmes (de son
service). • Est garant du respect par ses équipes de l’application de la politique de sécurité. • Consulte le RSSI pour toute question technique relative à la sécurité. • Informe le RSSI de tout incident de sécurité survenu dans son domaine de responsabilité. • Collabore avec le RSSI dans la mise en œuvre du plan de traitement des risques. Les administrateurs
• Exploitent au quotidien le système d’information
conformément aux directives de la politique de sécurité. • Mettent en œuvre les procédures de sécurité applicables dans leurs fonctions. • Informent le RSSI de tout incident de sécurité ou de toute situation anormale. Le responsable des études
• Est garant du respect par ses équipes des règles de
sécurité fixées dans la politique de sécurité. • Veille à ce que la sécurité du SI soit systématiquement prise en compte dans les projets majeurs. • Informe le RSSI de tout incident de sécurité détecté par ses équipes. • Consulte le RSSI pour toute question relative à la sécurité du SI. Les chefs de projet
• Intègrent les aspects sécurité du SI dans les
projets dont ils ont la charge. • S’assurent que les directives de la politique de sécurité du SI sont prises en compte dans leur domaine de responsabilité. • Informent le RSSI en cas d’incident de sécurité. Les directeurs de service
• Sont garants de la bonne application de la politique de sécurité et
du respect de la charte utilisateur par leurs équipes. • S’assurent que leurs équipes réalisent correctement les revues de droits sur les différentes applications du service. • Valident les risques applicables à leur périmètre de responsabilité et acceptent le plan de traitement proposé par le RSSI. • Informent le RSSI de tout incident de sécurité. Le responsable qualité
• Dans le cadre de ses fonctions, le responsable
qualité s’assure que: • procédures intégrées au système de management de la qualité (SMQ) sont à jour. • a la charge de l’audit interne. • contrôle que les procédures de sécurité, intégrées dans le SMQ, sont conformes aux exigences du système. Les utilisateurs du SI
• Respectent la charte de bon usage des moyens
informatiques. • Utilisent systématiquement les moyens informatiques mis à leur disposition par la DSI, et conformément aux procédures en vigueur. • Remontent au service d’assistance, et dans les plus brefs délais, tout événement pouvant s’avérer être un incident de sécurité. Instances de décision en matière de sécurité du SI Ces instances sont habilitées à prendre des décisions en matière de sécurité Le comité de direction
• Le comité de direction aborde au moins une fois par an
les points suivants : • présentation par le RSSI des risques ainsi que du plan de traitement des risques • point d’avancement par le RSSI des travaux de sécurisation • acceptation des risques et validation du plan de traitement des risques Le comité de direction de la DSI
• Se réunit deux fois par mois.
• Composé de tous les dirigeants de la DSI. • Le DSI préside cette réunion et en assure le secrétariat. • Permet au RSSI de se tenir informé des questions en cours sur lesquelles il pourrait apporter un éclairage en matière de sécurité. Le comité de pilotage de la sécurité
• Ce comité se réunit une fois par mois.
• Composé de tous les responsables de la DSI. Il est présidé par le RSSI, qui en assure le secrétariat. • En matière de sécurité, les points suivants peuvent être abordés : • questions d’actualité concernant la sécurité en cours de traitement, qui doivent permettre d’établir des priorités, des plans d’actions et d’obtenir les moyens nécessaires. • avancement des plans d’actions suite aux audits de sécurité ; • Mise au point sur les incidents de sécurité de la période. Le comité de suivi des actions de sécurité
• Ce comité est hebdomadaire, présidé par le RSSI, qui en assure le
secrétariat. • Il réunit toutes les personnes impliquées dans les plans d’actions de sécurisation. • Il s’agit donc essentiellement de techniciens de la DSI. • Le but est de suivre l’avancement des actions de sécurité décidées lors du comité de pilotage sécurité, ainsi que de réfléchir à des solutions techniques et organisationnelles aux différents problèmes posés. Autres comités
• Le RSSI peut être amené à intervenir ponctuellement
dans des comités de service ou de projets en fonction de l’actualité : • présentation d’une problématique sécurité concernant le comité en question, • sensibilisation à la sécurité des membres de ce comité, • Assister les develppeurs concernant des questions de sécurité, • etc. Entreprise et système d’information
• Processus métier : pilotés par la direction. Ils sont
relatifs aux clients, aux fournisseurs et aux partenaires de l’entreprise. • Processus fonctionnel : management du système d’information (support aux métiers) – chefs de projet. • Couche applications du SI : ensemble des logiciels, progiciels • L’infrastructure technique: Cette couche est constituée des serveurs, des ordinateurs, des téléphones, des smartphones, etc., bref de toutes les parties technologiques. Source : Livre Blanc du CIGREF : "Accroître l’agilité du système d’information« . - Métier : Direction générale
- Fonctionnel : DSI et chefs de
projets
- Application : Analyste métier,
chefs de service
- Technique : Admin système,
expert réseau et techniciens Système d’information Un SI c’est quoi ?
• Ensemble organisé de ressources qui
permet de regrouper, de classifier, de traiter et de diffuser de l’information dans une entreprise • Les ressources sont : • Matériels • Logiciels • Personnel • Données • Procédures S.I. de gestion et S.I. Industriel Sécurité des systèmes d’information
• La disponibilité : l’information est disponible quand on
en a besoin. • La confidentialité : l’information est disponible uniquement aux personnes et aux ressources autorisées. • L’intégrité : l’information est précise et exhaustive. • La traçabilité : l’information est suivie dans son évolution, son parcours. Mission du RSSI
La protection d’une information est
donc le produit de ces quatre composantes.
La mission première du RSSI
(Responsable Sécurité du Système Information) va être de maîtriser et de suivre ces quatre indicateurs, sur la partie du SI qui relève de sa responsabilité. Différentes approches de la sécurité du SI Quelle approche ?
Pour sécuriser les systèmes d’information:
• Une approche agit sur la technique: • Installer un pare-feu, appliquer les correctifs de sécurité, installer les anti-virus, etc. Sans analyse profonde du besoin réel de sécurité.
• L’autre approche privilégie le management:
• Suivre une méthodologie ou norme (Mehari, COBIT ou ISO 27001, etc.) Management ou technique ?
• Certains responsables de la sécurité des systèmes d’information (RSSI)
privilégient le management pour descendre progressivement vers la technique.
• À l’inverse, d’autres préfèrent lancer des actions techniques produisant
directement des résultats concret, avant de remonter progressivement vers le management.
• Estime que la mise en place de la sécurité par une méthodologie de
management est longue et complexe. Approche opérationnelle
• Dans les deux cas, les questions liées à la sécurité
opérationnelle se posent très vite : • Quels processus mettre en place ? • À quel niveau les gérer, • Comment les formaliser, • Comment s’assurer que ces processus fonctionnent correctement ? Approche opérationnelle de la sécurité
• L’approche opérationnelle se situe entre les deux
premières. • Elle applique des solutions techniques en utilisant des procédures de bonnes pratiques inspirées des méthodologies et/ou normes de management de la sécurité du SI. • Sans suivre toutes les étapes d’une méthodologie ou une norme. Sécurité opérationnelle