Entreprise et sécurité

informatique
Structure de la sécurité en entreprise
Entreprise fictive XYZ.Inc

• Entreprise XYZ fabrique des produits électroniques.

• C’est une PME de 350 employés.
• Le RSSI (Responsable de la Sécurité du Système d’Information) de
cette société a été chargé d’en sécuriser le SI (Système
d’Information). Il a donc mis en place un certain nombre de
processus opérationnels.
• Il doit lancer des projets.
• Il doit rédiger un certain nombre de documents.
Répartition des rôles en matière de sécurité

• Le but de ce document est de présenter les rôles

et les responsabilités en matière de sécurité du
système d’information dans l’entreprise XYZ:
• les rôles et responsabilités,
• Les instances de l’entreprise (responsable de la prise
de décision concernant la sécurité).
Le directeur général (DG)

• Fournit les moyens humains et financiers pour

assurer la sécurité du système d’information.
• Valide l’ensemble des risques ainsi que le plan de
traitement des risques présentés par le RSSI, au
moins une fois par an.
• Valide la politique de sécurité du système
d’information (PSSI).
Le directeur du système d’information
(DSI)

• Nomme le RSSI, à qui il délègue le pilotage des actions de

sécurisation du système d’information.
• Définit et tient à jour avec le RSSI les objectifs en matière de
sécurité du SI.
• Valide les risques portant sur les infrastructures dont il a la
responsabilité, que lui présente le RSSI.
• Valide et alloue les budgets nécessaires à la mise en place des
mesures de sécurité.
• Soutient le RSSI dans ses actions de sécurisation du SI.
Le responsable de la sécurité du système
d’information (RSSI)

• Définit la politique de sécurité du système d’information (PSSI) et

la maintient à jour.
• La fait valider par la direction générale (DG).
• S’assure du bon fonctionnement des mesures de sécurité
existantes.
• Vérifie l’efficacité des mesures,
• Vérifie les documentations et modes opératoires (accessibles et à jour),
• Définit et met en œuvre les plans d’actions pour sécuriser le
système d’information.
Le responsable de la sécurité du système
d’information (RSSI) (suite …)

• Réalise et maintient une appréciation des risques sur la sécurité

pour l’ensemble du SI:
• Fait valider les risques aux différents responsables concernés.
• Est consulté dans tout projet comportant une dimension de
sécurité.
• Est chargé de coordonner les actions lors des incidents de sécurité.
• Réalise une veille technologique :
• Pour adapter les mesures de sécurité aux nouvelles menaces.
Le responsable de la sécurité du système
d’information (RSSI) (suite …)

• Réalise une veille sur les vulnérabilités :

• Pour prévenir les attaques exploitant celles connues.
• Collabore avec tous les responsables de la DSI pour atteindre les
objectifs de sécurité fixés.
• Pilote les actions de sensibilisation à la sécurité du SI,
conformément aux procédures établies.
• Répond des pratiques de sécurité auprès des différents auditeurs
habilités à contrôler le SI.
Les membres de l’équipe sécurité

• Assistent le RSSI dans ses missions.

• Déclinent opérationnellement les règles définies par la politique
de sécurité.
• Effectuent les tâches de contrôle continu et de contrôle récurrent
des mesures de sécurité :
• contrôle contre les codes malveillants, contrôle contre les intrusions,
revues périodiques de droits, etc.
• Assistent le RSSI dans la veille en sécurité et pilotent les actions
préventives.
Le responsable de la production

• Décline les règles de sécurité s’appliquant aux systèmes (de son

service).
• Est garant du respect par ses équipes de l’application de la politique
de sécurité.
• Consulte le RSSI pour toute question technique relative à la sécurité.
• Informe le RSSI de tout incident de sécurité survenu dans son
domaine de responsabilité.
• Collabore avec le RSSI dans la mise en œuvre du plan de traitement
des risques.
Les administrateurs

• Exploitent au quotidien le système d’information

conformément aux directives de la politique de
sécurité.
• Mettent en œuvre les procédures de sécurité
applicables dans leurs fonctions.
• Informent le RSSI de tout incident de sécurité ou
de toute situation anormale.
Le responsable des études

• Est garant du respect par ses équipes des règles de

sécurité fixées dans la politique de sécurité.
• Veille à ce que la sécurité du SI soit systématiquement
prise en compte dans les projets majeurs.
• Informe le RSSI de tout incident de sécurité détecté par
ses équipes.
• Consulte le RSSI pour toute question relative à la sécurité
du SI.
Les chefs de projet

• Intègrent les aspects sécurité du SI dans les

projets dont ils ont la charge.
• S’assurent que les directives de la politique de
sécurité du SI sont prises en compte dans leur
domaine de responsabilité.
• Informent le RSSI en cas d’incident de sécurité.
Les directeurs de service

• Sont garants de la bonne application de la politique de sécurité et

du respect de la charte utilisateur par leurs équipes.
• S’assurent que leurs équipes réalisent correctement les revues de
droits sur les différentes applications du service.
• Valident les risques applicables à leur périmètre de responsabilité
et acceptent le plan de traitement proposé par le RSSI.
• Informent le RSSI de tout incident de sécurité.
Le responsable qualité

• Dans le cadre de ses fonctions, le responsable

qualité s’assure que:
• procédures intégrées au système de management de
la qualité (SMQ) sont à jour.
• a la charge de l’audit interne.
• contrôle que les procédures de sécurité, intégrées
dans le SMQ, sont conformes aux exigences du
système.
Les utilisateurs du SI

• Respectent la charte de bon usage des moyens

informatiques.
• Utilisent systématiquement les moyens informatiques mis
à leur disposition par la DSI, et conformément aux
procédures en vigueur.
• Remontent au service d’assistance, et dans les plus brefs
délais, tout événement pouvant s’avérer être un incident
de sécurité.
Instances de décision en matière de
sécurité du SI
Ces instances sont habilitées à prendre des décisions en matière de sécurité
Le comité de direction

• Le comité de direction aborde au moins une fois par an

les points suivants :
• présentation par le RSSI des risques ainsi que du plan de
traitement des risques
• point d’avancement par le RSSI des travaux de sécurisation
• acceptation des risques et validation du plan de traitement des
risques
Le comité de direction de la DSI

• Se réunit deux fois par mois.

• Composé de tous les dirigeants de la DSI.
• Le DSI préside cette réunion et en assure le
secrétariat.
• Permet au RSSI de se tenir informé des questions
en cours sur lesquelles il pourrait apporter un
éclairage en matière de sécurité.
Le comité de pilotage de la sécurité

• Ce comité se réunit une fois par mois.

• Composé de tous les responsables de la DSI. Il est présidé par le
RSSI, qui en assure le secrétariat.
• En matière de sécurité, les points suivants peuvent être abordés :
• questions d’actualité concernant la sécurité en cours de traitement, qui
doivent permettre d’établir des priorités, des plans d’actions et d’obtenir
les moyens nécessaires.
• avancement des plans d’actions suite aux audits de sécurité ;
• Mise au point sur les incidents de sécurité de la période.
Le comité de suivi des actions de sécurité

• Ce comité est hebdomadaire, présidé par le RSSI, qui en assure le

secrétariat.
• Il réunit toutes les personnes impliquées dans les plans d’actions
de sécurisation.
• Il s’agit donc essentiellement de techniciens de la DSI.
• Le but est de suivre l’avancement des actions de sécurité décidées
lors du comité de pilotage sécurité, ainsi que de réfléchir à des
solutions techniques et organisationnelles aux différents
problèmes posés.
Autres comités

• Le RSSI peut être amené à intervenir ponctuellement

dans des comités de service ou de projets en fonction de
l’actualité :
• présentation d’une problématique sécurité concernant le
comité en question,
• sensibilisation à la sécurité des membres de ce comité,
• Assister les develppeurs concernant des questions de sécurité,
• etc.
 Entreprise et système d’information

• Processus métier : pilotés par la direction. Ils sont

relatifs aux clients, aux fournisseurs et aux
partenaires de l’entreprise.
• Processus fonctionnel : management du système
d’information (support aux métiers) – chefs de
projet.
• Couche applications du SI : ensemble des logiciels,
progiciels
• L’infrastructure technique: Cette couche est
constituée des serveurs, des ordinateurs, des
téléphones, des smartphones, etc., bref de toutes
les parties technologiques.
Source : Livre Blanc du CIGREF :
"Accroître l’agilité du système
d’information« .
- Métier : Direction générale

- Fonctionnel : DSI et chefs de

projets

- Application : Analyste métier,

chefs de service

- Technique : Admin système,

expert réseau et techniciens
Système d’information
Un SI c’est quoi ?

• Ensemble organisé de ressources qui

permet de regrouper, de classifier, de
traiter et de diffuser de l’information
dans une entreprise
• Les ressources sont :
• Matériels
• Logiciels
• Personnel
• Données
• Procédures
S.I. de gestion et S.I. Industriel
Sécurité des systèmes d’information

• Ensembles des moyens :

• Techniques
• Organitionnels
• Juridiques
• Humains

Mise en place pour conserver, rétablir

et garantir la sécurité des systèmes
d’information
Concepts de sécurité

 Disponibilité
 Confidentialité
 Intégrité
 Traçabilité
Définitions

• La disponibilité : l’information est disponible quand on

en a besoin.
• La confidentialité : l’information est disponible
uniquement aux personnes et aux ressources autorisées.
• L’intégrité : l’information est précise et exhaustive.
• La traçabilité : l’information est suivie dans son
évolution, son parcours.
Mission du RSSI

 La protection d’une information est

donc le produit de ces quatre
composantes.

 La mission première du RSSI

(Responsable Sécurité du Système
Information) va être de maîtriser et de
suivre ces quatre indicateurs, sur la
partie du SI qui relève de sa
responsabilité.
Différentes approches de la sécurité du SI
Quelle approche ?

Pour sécuriser les systèmes d’information:

• Une approche agit sur la technique:
• Installer un pare-feu, appliquer les correctifs de sécurité,
installer les anti-virus, etc. Sans analyse profonde du besoin
réel de sécurité.

• L’autre approche privilégie le management:

• Suivre une méthodologie ou norme (Mehari, COBIT ou ISO
27001, etc.)
Management ou technique ?

• Certains responsables de la sécurité des systèmes d’information (RSSI)

privilégient le management pour descendre progressivement vers la
technique.

• À l’inverse, d’autres préfèrent lancer des actions techniques produisant

directement des résultats concret, avant de remonter progressivement
vers le management.

• Estime que la mise en place de la sécurité par une méthodologie de

management est longue et complexe.
Approche opérationnelle

• Dans les deux cas, les questions liées à la sécurité

opérationnelle se posent très vite :
• Quels processus mettre en place ?
• À quel niveau les gérer,
• Comment les formaliser,
• Comment s’assurer que ces processus fonctionnent
correctement ?
Approche opérationnelle de la sécurité

• L’approche opérationnelle se situe entre les deux

premières.
• Elle applique des solutions techniques en utilisant des
procédures de bonnes pratiques inspirées des
méthodologies et/ou normes de management de la
sécurité du SI.
• Sans suivre toutes les étapes d’une méthodologie ou une
norme.
Sécurité opérationnelle

C’est ce que nous allons voir dans la

prochaine présentation.