l’d d l’ardente nécessité de manager la sécurité de l ... · normes, règles, plans,...

ISO 27001ISO 27001 –– Sécurité de l’informationSécurité de l’informationISO 27001 ISO 27001 Sécurité de l informationSécurité de l information

’ d d lL’ardente nécessité de manager la sécurité de l’Information

119/09/2010 – Marie DAVID – Présentation QuaRES

La sécurité des Systèmes d’InformationLa sécurité des Systèmes d’InformationLa sécurité des Systèmes d InformationLa sécurité des Systèmes d Information

A l ’issue de cette présentation, vous ne « saurez »… presque rien :-(p , p q (Mais vous aurez des idées sur… presque tout :-)

Objectifs de la présentation:Objectifs de la présentation:Appréhender les enjeux de la sécurité des systèmes d’information dans notre contexte

Découvrir la logique de la norme qui y est associée

Repositionner notre rôle dans ce contexte

Echanger autour de la questionEchanger autour de la question

La théorie …..et la pratiqueLa théorie …..et la pratiquep qp qUne présentation (ici et maintenant)

Une mise en pratique (l’atelier prévu demain matin)


Le laboratoire : un patrimoine scientifique convoité ? Le laboratoire : un patrimoine scientifique convoité ?

l t f ill dla réputation du

laboratoireLa valorisation de la

recherche

le portefeuille de contrats de recherche (organismes publics,

entreprisesentreprises privées…)

les données informationnelles

les compétences (savoir, savoir faire)

le potentiel technique (infrastructures,

installations, ( , ),matériels…)

339/09/2010 – Marie DAVID – Présentation QuaRES Joseph Illand – FSD du CNRS – présentation réunion des CRSSI 2007

…soumis à des menaces ?…soumis à des menaces ?

l’espionnage visant p gdes secrets de

défense à des fins de prolifération ou de

terrorisme

l’espionnage scientifique et

industriell’altération de

donnéesterrorisme

l ’atteinte à la disponibilité ,

intégrité, l ’utilisation

frauduleuse de moyens

l ’atteinte à des personnes ou des

confidentialité de l’information

moyens informatiques biens

mais aussi lesmais aussi les risques juridiques

(civils, pénaux)….

449/09/2010 – Marie DAVID – Présentation QuaRES Joseph Illand – FSD du CNRS – présentation réunion des CRSSI 2007

Les enjeux de la Sécurité des SILes enjeux de la Sécurité des SI

Disponibilité de Disponibilité de Intégrité des Intégrité des systèmes et dessystèmes et desll ’outil de travail’outil de travail systèmes et des systèmes et des

personnespersonnes

Protection deProtection de ProtectionProtectionProtection de Protection de données sensibles données sensibles • données du patrimoine

Protection Protection juridique juridique • Risques administratifs

scientifique• données de gestion• données individuelles

• Risques pénaux • Protection de l’image de

marque


Finalité «Finalité « protection du patrimoine scientifiqueprotection du patrimoine scientifique »»

Et la norme dans tout cela….Et la norme dans tout cela….Appréhender la sécurité de l’information sous l’angle du management permet de dépasser le stade purement technique de la SSIla SSI.

La sécurité…La technologie

La norme aide à :g

Piloter et organiserla sécurité des SI

La procédure

Sensibiliser lesutilisateurs

Discuter avec lespartenaires

L’individu


L’intérêt de l’approche par la normeL’intérêt de l’approche par la norme

Système de management

• Organisationnelles• Techniques

Ensemble de mesures Techniquesmesures

• D’atteindre un objectifPermettant • Une fois atteint, d’y rester dans la duréePermettant

Objectifs

Mes res

Objectifs

Mesurestechniques

PolitiquePolitiqueSituation actuelle

Situation visée

Mesuresorganisationnelles

779/09/2010 – Marie DAVID – Présentation QuaRES D’après une présentation de Robert LONGEON – Chargé de Mission SSI du CNRS

L’intérêt de l’approche par la normeL’intérêt de l’approche par la norme

Niveau direction

Définition des objectifs

PNiveau gestion du

système d'information

Niveau exploitation

Prévention des incidents

Mise en place des protections

DNiveaustratégique

p

Niveau surveillance du système d'information et maintenance

protections

Contrôle du système d'information

C

A

Pilotage de la sécurité

Niveau prise en charge des incidents et analyseRéaction sur

incident

ANiveau

organisationnel

Normes, règles, plans, procédures, recommandations, structures, …

Niveau opérationnel

Dispositifs techniques de protection et de contrôle, administrationDispositifs techniques de protection et de contrôle, administration système et réseau, outils d'audits et d'analyse des incidents, …

889/09/2010 – Marie DAVID – Présentation QuaRES D’après une présentation de Robert LONGEON – Chargé de Mission SSI du CNRS

La construction du SMSI La construction du SMSI ISO27001 F li ti dISO27001 Formalisation de

la gouvernance Documentation Communication

Exigences légales et

réglementaires

Audit

Exigences de sécurité

Exigences métiers et

référentiel SSI de l’organismeISO27005 ISO27004

A i

Appréciation du risque

Exigences de sécurité liées

aux enjeux

g

Indicateurs

Traitement du risque

Acceptation

Refus

T f tdu risque Transfert

RéductionObjectifs de

sécurité

Mesures de sécurité

(techniques et organisationnelles

Dispositifs de sécurité

(techniques et organisationnelles)g

)g )

ISO27002


ISO27002

Les différentes étapes de mise en place du SMSILes différentes étapes de mise en place du SMSI


10

L’état des lieuxL’état des lieux• Inventaire des documents sécurité existants• Inventaire des mesures de sécurité ISO27002 déjà

appliquées• A quel degré sont-elles conformes au modèle PDCA ?• Quid de la gestion des documents ?

Q id d i i d i ?État des lieux

• Quid du suivi des actions ?• Existe-t-il une appréciation des risques (analyse de

risque) ?Y a t il une gestion des preuves des enregistrements ?• Y-a-t-il une gestion des preuves, des enregistrements ?

• Estimer la charge de travail pour intégrer les mesures de sécurité déjà en place dans une dé h lité (PDCA)Évaluation du démarche qualité (PDCA)

• Identifier les mesures de sécurité qu'il faut rajouter

Évaluation du projet 27001


Le recensement des actifs sensiblesLe recensement des actifs sensibles

dont la perte, la modification ou la dégradation rend

impossible la poursuite de la missionmission

St té i i di blles actifs primordiaux : les processus et activités métier, les informations

Stratégiques, indispensables à l'atteinte des objectifs

déterminés par les orientations stratégiques

La norme ISO 27001 différentie

Onéreux, pour lesquelles la collecte, le stockage et le

traitement demandeLes actifs de soutien : le cadre organisationnel, les traitement demande

beaucoup de temps ou implique un coût d'acquisition

élevé

g ,sites géographiques, les

personnels, le réseau, les logiciels, le matériel..


Apprécier les risquesApprécier les risquespp qpp q

Si une appréciation des Réviser l'appréciation des risques pour vérifier qu'elle est encorerisques existe déjà pour vérifier qu elle est encore

adéquate

Faire une « rétro-analyse » des risques (partir des mesures en place et en déduire les risques existants)

Pas d'appréciation des risques

Compléter l’appréciation ainsi ébauchée

Permet de faire le lien entre laPermet de faire le lien entre la politique du SMSI et les mesures

déjà en place

Déjà conformes au modèle PDCA

Identifier les mesures de sécurité

A adapter au modèle PDCA


Non encore implémentées13

Les étapes nécessaires Les étapes nécessaires de la gestion du risquede la gestion du risque

A l d iA l d iAnalyse du risqueAnalyse du risque

Identification des actifs + Evaluation du risqueEvaluation du risqueresponsables

M

Evaluation du risqueEvaluation du risque

Menaces + vulnérabilités

I t d'

Évaluer la vraisemblance Traitement du risqueTraitement du risque

Impact d'une perte de

Confidentialité Intégrité

Disponibilité Identifier le t it t d

Sélectionner les mesures de Identifier les

Impacts business

Évaluer le risque

traitement du risque

mesures de sécurité

correspondantes

Identifier les risques résiduels


Rédiger et mettre en place les procéduresRédiger et mettre en place les procéduresg p pg p p


15

CommuniquerCommuniquer

• Compte tenu de l'investissement, insister sur les apports :

Avec la Avec la directiondirection

• Opérationnels• Financiersdirectiondirection • En terme d’image de sérieux

• Reprendre le coût des incidents de sécurité les plus récents

Avec les Avec les utilisateursutilisateurs

• Qualité et disponibilité du service• Prise en compte de leurs demandesp


16

Auditer et itérerAuditer et itérer

Auditer par les membres du comité du

SMSI

Mettre en place un

programme d' dit

Réexaminer le périmètre d'audits

internesle périmètre

Rechercher et tester des indicateurs

Revoir la liste des actifs

Refaire l' é i ti


l'appréciation des risques

Les 5 chapitres Les 5 chapitres qui construisent le SMSI

Établissement

4.2.1

DocumentationÉtablissement

du SMSI

5 4.3

Responsabilitéde la direction

Planifier(plan)4.2.2

4.2.4

Déployer Roue de

Mise à jour et amélioration du SMSIMise en œuvre et

fonctionnement du SMSI Agir

(Do) Deming8

(Act)

Amélioration du

Vérifier(Check)

6Amélioration du

SMSI

Surveillance et réexamen du SMSI

7

Réexamen du SMSI

Audits internes du SMSI


réexamen du SMSI

4.2.3

par la direction

En conclusionEn conclusion

Augmente la fi bilité d

Augmente la fi bilité d

Obli àObli à

fiabilité de l’organisation

de façon

fiabilité de l’organisation

de façon Apporte laApporte laOblige à adopter de

bonnes

Oblige à adopter de

bonnes

de façon pérennede façon pérenne

Apporte la confiance aux

parties

Apporte la confiance aux

parties bonnes pratiquebonnes pratique prenantesprenantes

Manager la Manager la gsécurité de l’information par la mise

gsécurité de l’information par la misepar la mise

en place d’un SMSI

par la mise en place d’un

SMSI


l’d d l’ardente nécessité de manager la sécurité de l ... · normes, règles, plans,...

Documents