ict control - les normes de sécurité de l'information

Infopôle Juin 2015 1

Les Normes deSécurité de l’Information

Infopôle A.G.19 Juin 2015

MScIng ALLARD Jean-Luc, CISM

Infopôle Juin 2015 2

Agenda

• Les normes dans notre vie• Les normes de sécurité de l’information• Conclusion

Infopôle Juin 2015 3

Les normes dans notre vie

• Omniprésence• Buts:• Harmonie et interactions/interactivité• Tranquilité d’esprit et confiance

• Que montrent-elles?• Bonnes pratiques – recommandations• Etat de l’art• Exigences pour une certification

Infopôle Juin 2015 4

Les normes dans notre vie

• Qui cela concerne-t-il?• Les fabricants et producteurs• Contrainte associée à un coût

• … et les normes de sécurité?• Idem• 2 voies

• Safety• Sécurité

Infopôle Juin 2015 5

Les normes de Sécurité de l’Information• Le problème• Nous sommes tous concernés:

• consommateurs ET d’informations• Augmenter nos connaissances/compétences• Prendre des décisions • Mener des actions

• Information : concept mal perçu• Sécurité: mal comprise

Infopôle Juin 2015 6

Les normes de sécurité de l’information• Le champ d’actions• L’information• Son traitement, son stockage, sa communication• Quelque soit le support et le format

• Responsabilité:ISO/IEC JTC1 SC27• WG1 : SMSI• WG2: Cryptographie• WG3: Evaluation et certification• WG4: Techniques et technologie• WG5: Identité, accès et rPivacy

Infopôle Juin 2015 7

Les normes-clés de sécurité de l’information• WG1• 27001 et 27002 : SMSI et Code of Practices • 27000: Overview and vocabulary• 27017, 27018, 27011, 27015: Cloud, Telecom & Fincancial sector• 27006 et 27007: audit• 27003, 27004 et 27005: mise en œuvre du SMSI

• WG3: • 15408 et 15446: Critères Communs, Définition PP/ST• 21827: SSE-CMM

Infopôle Juin 2015 8

Les normes-clés de sécurité de l’information• WG4: • 27032: Cybersecurity• 27034: Application security• 27035: Incident management• 27036: Network security…

• WG5:• 24760: Identity management framework• 29190: Privacy capability assessment model• 29115: Entity authentication framework

Infopôle Juin 2015 9

La situation… peu lumineuse

• PME• Peu actifs• Peu concernés (‘je ne suis pas une cible’)• Mal informés = coût et charge

• Grandes entreprises et Industries (4.0)• Focus sur l’IT, pas sur l’information• Mise en place d’une grosse artilierie peu efficace• Pas de focalisation sur l’Important/Urgent

Infopôle Juin 2015 10

A considérer…

• 6 actions-clés• Identifier le Top 5 des informations• Qu’en fait-on et pourquoi?• Quelle est leur source?• Qui les exploite?• Qui est destinataire?• Quel canal de transmission?

• Classifier les informations et gérer les risques!• Dépendent du contexte interne et externe

Infopôle Juin 2015 11

Conclusions

• Les normes ‘rassurent’… c’est aussi le but de la sécurité• Les jormes de sécurité sont un objectif• Vers lequel on veut tendre…• … pour ce qui a de la valeur pour nous• Pas une obligation de ‘maximum’ partout et tout le temps

La sécurité est relative

Infopôle Juin 2015 12

People

Infopôle Juin 2015 13

Sourcing IT seems easy, .. But

Copyright 2012 Georges Ataya, ICTC.EU

many things can go wrong

Infopôle Juin 201514 |