Scribd Logo
Importer

Bienvenue sur Scribd !

  • Atelier ISO 27001

    Transféré par

    Fatine El
    15 vues21 pages

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PPTX, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PPTX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    15 vues21 pages

    Atelier ISO 27001

    Transféré par

    Fatine El

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PPTX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 21

    Importance du management

    de la sécurité des SI au sein


    des établissements

    Fatine EL HICHAOUI : Chef de projet informatique


    OSUI
    Les systèmes d’information de l’éducation sont exposés à
    plusieurs menaces de types environnementales (incendie,
    inondation …), intrinsèques (technologies, conception…) et
    surtout humaines (externes et internes à l’établissement,
    volontaires, par erreur/négligence…)

    D’où leur vulnérabilité qui accroit avec le nombre croissant des


    utilisateurs : élèves mineurs, équipes pédagogiques, parents,
    personnels administratifs, fournisseurs …

    Cette diversité d’utilisation et d’exigence nous impose donc


    d’instaurer des mesures de sécurité SI
    Vulnérabilités des systèmes d'information
    Les vulnérabilités ont de multipliées sources tel que:

    • La banalisation, la complexité, l'automatisme et le nombre


    d'utilisateurs de ces systèmes;

    • Le volume et la diversité des informations traitées;


    Vulnérabilités des systèmes d'information
    • Le partage d'infrastructures communes qui rendent le système de
    liaison plus complexe : réseaux haut débit , intranet étendu,
    usages nomades via les environnements numériques de travail,

    • Des utilisateurs très hétérogènes : élèves mineurs, élèves et


    étudiants majeurs, enseignants, parents d'élèves, personnels
    administratifs, fournisseurs et partenaires.
    Les enjeux de la sécurité des systèmes d'information

    Les enjeux sont très importants en raison du nombre de personnes


    concernées au niveau de nos 110 établissements.

    La circulation, le stockage et le traitement des informations


    électroniques doivent être protégées pour garantir la continuité de
    l'activité des établissements.
    Les natures d’incidents

    Accéder à Détruire
    l’information l’information
    sensible
    Nature
    d’incident

    Altérer
    l’information
    Les natures d’impact
    Atteinte aux
    élèves mineurs

    Arrêt de Nature Vol données à


    service/activité d’impact caractère personnel

    Dégradation image
    de l’établissement
    Calcul d’impact de sécurité
    Mise en place d ’un système de sécurité SI
    L’objectif de mise en place d’un système de sécurité SI est d’assurer :

    • Confidentialité : propriété d’une information d’être protégée


    contre une publication ou une interception non autorisée

    • Intégrité : propriété d’une information dont l’exactitude et la


    complétude sont garanties
    Mise en place d ’un système de sécurité SI
    L’objectif de mise en place d’un système de sécurité SI est d’assurer :

    • Disponibilité : propriété d’une information d’être disponible


    quand on en a besoin

    • Intimité (privacy) : confidentialité + intégrité d’information


    appartenant à une personne particulière (Nouvelle Loi Marocaine)
    Scopes de contrôle de la sécurité SI

    Scope
    Management

    Scope Scopes de Scope


    Opérationnel contrôle Technique
    Scope Management
    Les points de contrôle au niveau de ce scope sont :

    • L’étendu du périmètre couvert doit être documentée et


    permettre d'identifier clairement le personnel, les actifs, les
    fournisseurs et les tiers, les emplacements physiques et les
    périmètres sécurisés.

    • Les rôles et responsabilités des collaborateurs doivent être bien


    définis
    Scope Management
    Les points de contrôle au niveau de ce scope sont :

    • Stratégie de contrôle d'accès doit être établie, documentée =>


    doit s'appliquer à tous les équipements entrant dans le périmètre
    couvert ( datacenter, locaux techniques…)

    • Gestion de l'information - Incidents de sécurité :


    Les responsabilités et les procédures de gestion doivent être établies
    pour garantir une réaction rapide, efficace et ordonnée aux incidents
    ( PDCA : plan de continuité d’activité )
    Scope Opérationnel
    Les points de contrôle au niveau de ce scope sont :

    • Convention avec les tiers : Le contrat en vigueur avec le tiers doit


    clairement couvrir les exigences de sécurité pertinentes, ainsi que
    le droit de procéder à un audit.

    • Authentification users par les connexions externes : doit être


    sécurisé pour empêcher tout accès non autorisé et la
    configuration des équipements d'interconnexion.
    Scope Opérationnel
    Les points de contrôle au niveau de ce scope sont :

    • Gestion des droits d'accès


    • Suppression des droits d'accès de tous les employés et tiers utilisateurs à
    la fin de leur contrat de travail, de leur contrat ou modifiés si leur rôle
    change.

    • Récupération / désactivation d'actifs appropriée (ordinateurs, jetons


    d'accès, clés, etc.)

    • Notification par les tiers contractants obligatoire pour informer le


    manager des changements de personnel mis à disposition
    Scope Opérationnel
    Les points de contrôle au niveau de ce scope sont :

    • Sécurité physique
    • Les employés affichent les cartes d’identité avec photo appropriées, à la
    demande de leur organisation.

    • Les employés restent dans les zones autorisées des sites.

    • Etiquetés les équipements de manière efficace avec un identifiant unique


    pour éviter une modification accidentelle du mauvais équipement.
    Scope Opérationnel
    Les points de contrôle au niveau de ce scope sont :

    • Sécurité environnementale
    • Les datacenters/Locaux techniques (la pièce entière, pas seulement le
    rack), doivent être entretenues pour ne pas détérioré ou mettre en panne
    le matériel ( climatisation, ondulation électrique…) pour éviter une
    défaillance catastrophique (par exemple, un incendie ou une défaillance
    électrique
    Scope Opérationnel
    Les points de contrôle au niveau de ce scope sont :

    • Gestion du changement : Un processus de contrôle des


    modifications doit exister avec tenue d'un journal des
    modifications.

    • Procédures d'exploitation : Les parties contractantes doivent être


    en mesure de démontrer des pratiques d'exploitation cohérentes
    pour les activités relatives aux équipements concernés
    Scope Technique
    Contrôles de réseau
    • la topologie du réseau et son architecture doit être documentée et couvrir
    l'équipement compris

    • Maintien de séparation logique du réseau d'interconnexion par rapport aux


    autres sources externes (par exemple, d'autres interconnexions, Internet).

    • Des filtres, des mandataires SIP, des pares-feux, des VLAN ou d'autres
    technologies peuvent être utilisés pour maintenir cette séparation.
    Scope Technique
    Log d'audit
    • Des journaux d’audit enregistrant les activités de l’utilisateur et de
    l’administrateur pour faciliter les futures enquêtes et la surveillance du
    contrôle d’accès

    Contrôle de technique vulnérabilités


    • Le déploiement de solutions de gestion des vulnérabilités doit suivre les
    processus de gestion des changements.

    • Besoin de conserver des enregistrements des vulnérabilités identifiées et de


    déterminer si elles ont été corrigées, résolues ou considérées comme inutiles.
    Merci pour votre présence

    Vous aimerez peut-être aussi