la politique de sécurité. définit la manière dont la sécurité doit être mise en œuvre dans...
TRANSCRIPT
La politique de SécuritéLa politique de Sécurité
La politique de SécuritéLa politique de Sécurité
• Définit la manière dont la sécurité doit Définit la manière dont la sécurité doit être mise en œuvre dans une entreprise.être mise en œuvre dans une entreprise.
• Responsabilise tout le monde. Chacun Responsabilise tout le monde. Chacun doit comprendre ce que l’on attend de doit comprendre ce que l’on attend de lui.lui.
• Etablit des règles de configuration des Etablit des règles de configuration des systèmes et la façon dont les employés systèmes et la façon dont les employés doivent agir.doivent agir.
StratégiesStratégies
– Quatre stratégies sont possibles :
– Tout couper : L’approche paranoïaque– Tout couper et autoriser ce qui est utilisé :
L’approche prudente– Tout autoriser et couper ce qui semble
dangereux : L’approche permissive
– Tout autoriser : L’approche laxiste
StratégiesStratégies
– La politique de sécurité doit être applicable et réaliste !
– La mise en place d’une collaboration de tous les utilisateurs du système d’information est indispensable pour la réussite et la pérennité du projet.
Le butLe but
• Les objectifs doivent être Les objectifs doivent être précisément définis.précisément définis.
• Le document qui traite le sujet doit Le document qui traite le sujet doit clairement énoncer pourquoi la clairement énoncer pourquoi la procédure a été créée et quel procédure a été créée et quel avantage l’entreprise espère en avantage l’entreprise espère en obtenir.obtenir.
Le champ d’applicationLe champ d’application
• Chaque procédure doit indiquer les Chaque procédure doit indiquer les domaines auquel elle s’applique :domaines auquel elle s’applique :
– OrdinateursOrdinateurs– Infrastructure réseauInfrastructure réseau– UtilisateursUtilisateurs
ResponsabilitéResponsabilité
• Un responsable de la mise en œuvre Un responsable de la mise en œuvre des règles définies par la politique des règles définies par la politique doit être désigné.doit être désigné.
• Cette personne doit être Cette personne doit être correctement formé et connaître les correctement formé et connaître les objectifs des procédures qu’elle objectifs des procédures qu’elle applique.applique.
Politiques et procédures :Politiques et procédures :
• Politique de l’InformationPolitique de l’Information
• Politique de SécuritéPolitique de Sécurité
• Politique d’utilisation des ordinateursPolitique d’utilisation des ordinateurs
• Politique d’utilisation d’InternetPolitique d’utilisation d’Internet
• Procédures de gestion utilisateursProcédures de gestion utilisateurs
• Procédure d’administration systèmeProcédure d’administration système
• Procédure de gestion de la configurationProcédure de gestion de la configuration
Politique de l’InformationPolitique de l’Information
• Elle détermine quelles sont les Elle détermine quelles sont les informations sensibles dans informations sensibles dans l’entreprise et comment celles-ci l’entreprise et comment celles-ci doivent être protégées.doivent être protégées.
Politique de l’InformationPolitique de l’Information
• Identification des Informations Identification des Informations SensiblesSensibles
• Deux ou Trois niveaux de Deux ou Trois niveaux de classification :classification :– PubliquesPubliques– Exclusives, Sensibles ou confidentiellesExclusives, Sensibles ou confidentielles– Limitées ou protégéesLimitées ou protégées
Politique de l’InformationPolitique de l’Information
• Eléments à prendre en compte pour Eléments à prendre en compte pour chaque niveau :chaque niveau :
– Le support de l’informationLe support de l’information– Le stockageLe stockage– La transmissionLa transmission– La destructionLa destruction
Politique de SécuritéPolitique de Sécurité
• Elle définit les exigences techniques Elle définit les exigences techniques pour la sécurité des systèmes pour la sécurité des systèmes informatiques et des équipements de informatiques et des équipements de réseau.réseau.
• Elle définit comment un Elle définit comment un administrateur système ou réseau administrateur système ou réseau doit configurer un système sécurisé.doit configurer un système sécurisé.
Politique de SécuritéPolitique de Sécurité
• Identification et authentificationIdentification et authentification
• Contrôle et droits d’accès.Contrôle et droits d’accès.
• L’auditL’audit
• Les connexions réseauxLes connexions réseaux
• La protection antiviraleLa protection antivirale
• Le chiffrementLe chiffrement
Politique de SécuritéPolitique de Sécurité
• Mise en place de dérogation.Mise en place de dérogation.
– Nécessaire lorsque les obligations de Nécessaire lorsque les obligations de l’entreprise deviennent plus importantes l’entreprise deviennent plus importantes que l’observation de la politique de que l’observation de la politique de sécurité/sécurité/
Politique d’utilisation des Politique d’utilisation des ordinateursordinateurs
• Etablit par qui et comment les postes Etablit par qui et comment les postes de travail de l’entreprise sont utilisés de travail de l’entreprise sont utilisés ::
– Propriété des ordinateursPropriété des ordinateurs– Propriété de l’informationPropriété de l’information– Tolérance d’utilisation des ordinateursTolérance d’utilisation des ordinateurs– L’absence de confidentialitéL’absence de confidentialité
Politique d’utilisation Politique d’utilisation d’Internetd’Internet
• Souvent incluse dans la politique Souvent incluse dans la politique d’utilisation des ordinateurs, elle d’utilisation des ordinateurs, elle peut être traitée séparément en peut être traitée séparément en raison de la nature spécifique raison de la nature spécifique d’Internet.d’Internet.
• Elle définit comment Internet peut-Elle définit comment Internet peut-être ou ne pas être utilisé dans être ou ne pas être utilisé dans l’entreprise.l’entreprise.
Politique du courrier Politique du courrier électroniqueélectronique
• Elle doit statuer sur l’utilisation du Elle doit statuer sur l’utilisation du courrier Interne et Externe.courrier Interne et Externe.
• Si l’entreprise surveille le courrier Si l’entreprise surveille le courrier électronique en traçant certains électronique en traçant certains mots-clés et certains types de mots-clés et certains types de fichiers attachés, elle doit en faire fichiers attachés, elle doit en faire part à ses employés.part à ses employés.
Procédures de gestion Procédures de gestion utilisateurutilisateur
• Elles définissent comment les Elles définissent comment les comptes utilisateurs sont géréscomptes utilisateurs sont gérés
– Procédure d’arrivéeProcédure d’arrivée– Procédure de transfertProcédure de transfert– Procédure de départProcédure de départ
Procédure d’administration Procédure d’administration systèmesystème
• Détermine comment les services de Détermine comment les services de sécurité et d’administration des sécurité et d’administration des systèmes doivent travailler ensemble systèmes doivent travailler ensemble pour garantir la sécurité des pour garantir la sécurité des systèmes.systèmes.
Procédure d’administration Procédure d’administration systèmesystème
• Mise à niveau des logicielsMise à niveau des logiciels
• Analyse de vulnérabilité – CorrectionAnalyse de vulnérabilité – Correction
• Contrôle de conformité à la politiqueContrôle de conformité à la politique
• Examen des journaux d’évènementsExamen des journaux d’évènements
La réponse aux incidentsLa réponse aux incidents
• Objectifs de l’ IRP ( Incident Objectifs de l’ IRP ( Incident Response Procedure) :Response Procedure) :– Protection des systèmesProtection des systèmes– Protection des informationsProtection des informations– Rétablissement des activitésRétablissement des activités– Réduction de l’impact sur l’extérieurRéduction de l’impact sur l’extérieur– Poursuites judicairesPoursuites judicaires
La réponse aux incidentsLa réponse aux incidents
• Identification d’événementsIdentification d’événements
• La procédure d’escalade :La procédure d’escalade :– Le pouvoir de décisionLe pouvoir de décision– La documentationLa documentation
• Le contrôle de l’informationLe contrôle de l’information
• Plans de reprise d’activitéPlans de reprise d’activité
Elaboration de la politiqueElaboration de la politique
• Définir ce qui est importantDéfinir ce qui est important
• Gestion des risquesGestion des risques
• Définir les comportements acceptablesDéfinir les comportements acceptables
• Identifier les parties intéresséesIdentifier les parties intéressées
• Définir un plan appropriéDéfinir un plan approprié
• Développer la politique avec Développer la politique avec l’entreprisel’entreprise
Application de la politiqueApplication de la politique
• Obtenir l’adhésionObtenir l’adhésion• FormerFormer• Ne pas faire de la sécurité un obstacle Ne pas faire de la sécurité un obstacle
au travail de chacunau travail de chacun• Utiliser de manière efficace la politique :Utiliser de manière efficace la politique :
– Accorder les projets nouveaux avec Accorder les projets nouveaux avec l’existantl’existant
– Vérification périodique, auditVérification périodique, audit– Révision de la politiqueRévision de la politique
ConclusionConclusion
• En fonction de la taille de l’entreprise En fonction de la taille de l’entreprise la politique de sécurité sera plus ou la politique de sécurité sera plus ou moins importante.moins importante.
• Sa conception et sa mise en œuvre Sa conception et sa mise en œuvre sont des tâches complexes qui sont des tâches complexes qui nécessitent des compétences nécessitent des compétences diverses.diverses.
• La sécurité est aujourd’hui un métier La sécurité est aujourd’hui un métier part entière.part entière.