1er semestre 2008IUT Orsay Licence SRSI1
Politique et management de la sécurité
Politique de sécurité
1er semestre 2008IUT Orsay Licence SRSI2
Le cadre de référence de la politique de sécuritéLa politique générale de sécuritéLe schéma d’organisation de la fonction
sécuritéLes directives générales et les procédures
Le reporting : les tableaux de bordLa sensibilisation
La politique générale de sécurité
1er semestre 2008IUT Orsay Licence SRSI3
Elle représente la position de la Direction Générale sur la protection de son système d’information
La PSSI vise à informer la maîtrise d’ouvrage et la maîtrise d'œuvre des
enjeux tout en l'éclairant sur ses choix en terme de gestion des risques
à susciter la confiance des utilisateurs et partenaires envers le système d'information.
Elle est spécifique à un organisme, à sa culture d'entreprise, à ses objectifs et ses métiers
Elle est établi en conformité avec : Les contraintes sectorielles La législation (textes légaux)
Définitions et propriétés
1er semestre 2008IUT Orsay Licence SRSI4
Elle est précédée par une analyse des risques Elle est au cœur de la norme ISO 27002 et est un
préalable indispensable à l'obtention de la certification 27001
Support important de sensibilisation, elle doit être diffusée, avec tous ses documents annexes, à tout les acteurs au sein de l'organisme
Elle doit évoluer dans le temps au sein du système de gestion de la sécurité, au travers de mesures et d'améliorations continues
La politique générale de sécurité Définitions et propriétés
1er semestre 2008IUT Orsay Licence SRSI5
Elle est émise sous la signature du dirigeant de la structure
Elle présente les grands concepts de la sécuritéElle explicite les enjeux de la sécurité pour la structureElle fixe les objectifs en termes de sécurité de
l’informationElle détaille pour chaque acteur les droits et les devoirs
vis-à-vis de la sécuritéElle est diffusée « personnellement » à chaque
collaborateur
La politique générale de sécurité La charte de sécurité
1er semestre 2008IUT Orsay Licence SRSI6
Elle présente les critères communs de sécurité s'appliquant à tous type de tiersSSII en régie ou au forfaitSociétés de maintenanceFournisseurs disposant d'accès en télémaintenancePartenaires accédant à certaines parties du SI
Elle pourra être annexée au contrat signé avec le tiers.Des dispositions particulières à chaque tiers
pourront être ajoutés utilement dans le document
La politique générale de sécuritéLa charte de sécurité pour les tiers
1er semestre 2008IUT Orsay Licence SRSI7
Elle présente les objectifs suivants :Définition claire des droits et devoirs des utilisateurs Informer des comportements à risque devant être
évités Informer sur la dimension juridique
Elle respecte les règles de bases suivantes : Transparence de la part de l'organisme sur les
moyens en place Discussion avec le CE, le CHSCT et les DP Respect des libertés individuelles Sensibilisation et formation à la sécurité de
l'information et aux outilsElle précise les sanctions encourues
La politique générale de sécurité La charte utilisateur du S.I.
1er semestre 2008IUT Orsay Licence SRSI8
Il précise :Les conditions d’accès aux informationsLes conditions de conservation, de transport et
de diffusion des informations de l’entité Il détaille les sanctions en cas de non respect
Il s’adresse À tous les collaborateurs de l’entité À toute personne devant accéder à des
informations quelque soit son lien avec l’entité et la nature de ses actions
Il est obligatoirement signé par la personne
La politique générale de sécuritéL’engagement de confidentialité
1er semestre 2008IUT Orsay Licence SRSI9
Il recense les missions / tâches liées à la sécuritéIl pré-positionne les rôles et responsabilités des
différents acteurs à l’égard des processus sécuritaires types, notamment en matière de :
Cadre général et pilotage de la sécurité; Mise en œuvre opérationnelle de la sécurité; Prise en compte de la sécurité dans les projets; Identification et évaluation des risques liés au système
d’information; Audits de sécurité du système d’information;
La politique générale de sécuritéLe schéma d’organisation de la fonction sécurité
Responsable Sécurité Systèmes d’Information(RSSI)
Maître d’ouvrage de la gestion des risques S.I.
Direction Générale
Directions opérationnelles Métiers
DSI
Responsable Sécurité Informatique(RSI)
Maître d’œuvre de la maîtrise des risques informatiques et télécoms
Division Risk Management
Correspondant. Sécurité Systèmes d’Information
(CSSI)
Interrelations fonctionnelles
Études & Développements
Architectes & Experts
Exploitants & Administrateurs
Interrelations fonctionnelles
Comité Directeur
Audit
Inspection Générale
Comité Risques
Commission Sécurité des Systèmes d’Information
(COSSI)
Instance d’orientation & d’arbitrage Maîtrise d’ouvrage SSIMaîtrise d’œuvre SSIInstance de pilotage et de coordinationInstance d’audit et de contrôleInstance d’enquêtes
1er semestre 2008IUT Orsay Licence SRSI11
La politique générale de sécurité Directives générales de sécurité (1/5)
Elles représentent le référentiel de sécurité de l’entrepriseElles regroupent par grands domaines les règles de sécurité
à respecterElles sont en ligne avec les enjeux, risques majeurs et
préoccupations prioritaires soulignés au sein du document de politique générale
Elles tiennent compte des principes sécuritaires déjà mis en œuvre, que ce soit au sein des infrastructures informatiques et de télécommunication proprement dites, comme au sein des processus métier
Elles sont réalisées à partir d’entretiens avec les différents responsables techniques et fonctionnels de l’entreprise
1er semestre 2008IUT Orsay Licence SRSI12
La politique générale de sécurité Directives générales de sécurité (2/5)
Origine Normes et standards (ISO 27002, IETF,…) Bonne pratiques de sécurité (CoBit) Recommandations (Bâle II, Commission bancaire,…) Expertises
Natures 15 directives à dominante informatique (réseaux, postes de
travail, Internet, messagerie électronique, téléphonie,…) 6 directives à dominantes non informatique (classification,
continuité des activités, ressources humaines,…)
1er semestre 2008IUT Orsay Licence SRSI13
La politique générale de sécuritéDirectives générales de sécurité (3/5)
Elles sont mises à jours régulièrement pour tenir compte des évolutions : technologiques (nouvel OS, nouveau langage de programmation,…) d’architecture physique ou logicielle
Elles sont diffusées largement et d’un accès aisé
Enoncé de la règleNiveau de sécurité
(S, R, M)Acteurs impliqués
Les dispositifs de filtrage, de commutation et de routage doivent être configurés pour garantir l’acheminement des seuls flux autorisés aux seuls destinataires devant les recevoir. S
Administrateur dispositifs de sécurité
1er semestre 2008IUT Orsay Licence SRSI14
La politique générale de sécuritéDirectives générales de sécurité (4/5)
Sécurité Standard (S) Il s’agit d’un principe ou d’une règle dont la mise en œuvre est
nécessaire, quelle que soit la criticité de la ressource sur laquelle il/elle est appliqué(e). Le niveau de sécurité standard correspond à la mise en œuvre de dispositifs relevant avant tout de « bonnes pratiques sécuritaires », dans le respect des principes et objectifs définis dans la Politique de Sécurité.
Sécurité Renforcée (R) Il s’agit d’un principe ou d’une règle dont la mise en œuvre est
souhaitable lorsque l'évaluation des menaces et des enjeux peut amener les Maîtrises d’Ouvrage à demander la mise en place de moyens de sécurité complémentaires sous la forme de dispositifs plus robustes.
Sécurité Maximale (M) Il s’agit d’un principe ou d’une règle dont la mise en œuvre est a priori
recommandée lorsque des situations spécifiques imposent la mise en œuvre de solutions « sur mesure » (non nécessairement du marché ou standard).
1er semestre 2008IUT Orsay Licence SRSI15
La politique générale de sécuritéDirectives générales de sécurité (5/5)
Les acteursMaitrise d’ouvrage
RSSI : Responsable de la Sécurité des Systèmes d’Information, Propriétaire d’information, Responsable métier / hiérarchique, Utilisateur
Maitrise d’œuvre Equipe développements, Architecte / expert sécurité SI,
Administrateur droits d’accès, Administrateur dispositifs de sécurité, Equipe exploitation, Responsable surveillance sécurité
Les fonctions supports Ressources humaines (formation, contrats de travail,
…), Juridique, Communication, etc. … Les fonctions de contrôle
Audit, Inspection, Contrôle des risques, etc. …
1er semestre 2008IUT Orsay Licence SRSI16
La politique générale de sécurité Procédures de sécurité
Décrivent une suite logique d'actions visant à atteindre un objectif
Rubriques d’une procédure L’élément déclenchant, Le responsable Les acteurs La description des tâches unitaires Les livrables attendus pour chaque tâche Les conditions de contrôle et de conservation des traces
1er semestre 2008IUT Orsay Licence SRSI17
Le reporting : Le tableau de bord
C’est un outil de synthèse et de visualisation de la politique de sécurité mise en œuvre:
Au niveau stratégique. Il permet:Le suivi de l’application de la politique de sécuritéDe se positionner vis-à-vis des autres structuresDe préparer les choix et les arbitrages
Au niveau du pilotage. Il permet :Le contrôle de la réalisationL’amélioration de la qualité
Au niveau opérationnel. Il permet :De mesurer la production et les efforts entrepris pour
atteindre les objectifsDe motiver et dynamiser les équipes
1er semestre 2008IUT Orsay Licence SRSI18
Il est constitué de différents indicateurs sélectionnés à partir des objectifs validés dans la politique de sécurité.
Les formats des indicateurs : Un dénombrement, Un degré mesuré ou estimé sur une échelle de valeur, Un taux, Un ratio, Une note estimée en fonction d’une grille de notation…
Le reporting : Le tableau de bord
1er semestre 2008IUT Orsay Licence SRSI19
Ces indicateurs ont les qualités suivantes : Facilement quantifiables (construit à partir d’informations ou de
processus générant des informations quantifiables) afin de permettre des comparaisons (entre systèmes ou entre périodes). Il s’agit le plus souvent de pourcentage, de taux, de ratio, de moyenne et/ou de nombres « bruts »;
Les informations nécessaires doivent être faciles à obtenir et/ou collecter;
s’appuyer sur des processus « stables » et aisément « reproductibles » ;
permettre la mesure des évolutions suite à des actions correctives ; être fiable sur la durée et autoriser une analyse des écarts ;
Le reporting : Le tableau de bord
1er semestre 2008IUT Orsay Licence SRSI20
Un indicateur possède les caractéristiques suivantes : Un indicateur est une donnée objective qui permet d’apprécier
une situation, du strict point de vue quantitatif. un référentiel (la performance à atteindre ou à respecter), un seuil d’alerte (niveau à partir duquel des actions
correctrices doivent être déclenchées), des points de mesure (les informations élémentaires à
collecter), une valeur (l’expression du constat : nombre, pourcentage,
différence...), une fréquence de calcul, une fréquence de diffusion, un responsable nommément désigné.
Le reporting : Le tableau de bord
1er semestre 2008IUT Orsay Licence SRSI21
Proportion de traces contrôléeso Calcul : Volume des traces contrôlées x 100 / volume des traceso Valeur cible : 100%Évolution du nombre de comptes inutiliséso Calcul : Nombre de comptes inutiliséso Valeur cible : 0Renouvellement des sensibilisations et informations des personnels techniqueso Calcul : Somme des délais écoulés depuis la dernière sensibilisation ouinformation de chaque personnel technique / nombre de personnels techniqueso Valeur seuil : délai moyen maximal à fixer
Le reporting : Le tableau de bord
1er semestre 2008IUT Orsay Licence SRSI22
La sensibilisation
C’est axe primordial da la politique de sécuritéElle concerne tous les collaborateurs de
l’entreprise quelque soit le métier exercé et le niveau de responsabilité
Elle doit être adaptée : Au profil des collaborateurs Au métier exercé dans l’entreprise
Elle peut porter sur un axe particulier de la sécurité et accompagner la mise en œuvre de pratiques nouvelles Lutte anti virale Renforcement de l’authentification
1er semestre 2008IUT Orsay Licence SRSI23
La sensibilisationElle n’est pas « unique »Elle peut prendre une forme ludique (quizz,
concours,…)Elle rappelle les obligations professionnelles et
légalesElle traite de cas concrets et d’évènements réelsElle prend des formes diverses
Interventions des dirigeants lors de manifestation Stage d’accueil Journal d’entreprise et campagne d’affichage dans les
locaux Messages sur l’Intranet ou à l’ouverture de session Jeux