Vincent Trely

Scurit des Systmes d information Vincent TRELY
Scurit des Systmes d Information
Une politique simple pour parler la Direction Gnrale De la thorie la pratique
Convention Scurit HSC 2005
Sommaire
Fondements d une politique de scurit Les 9 axes parallles d une politique de scurit Reporting, ROI
Principe de base de la scurit

Dmarche globale de matrise des risques informatiques
Minimiser les pertes financires, de savoirfaire et d image
Rduire les risques technologiques et informationnel un niveau acceptable pour l entreprise
Permettre un usage efficace et conomique des technologies
Objectif central de la scurit

La scurit ne permet pas directement de gagner de l argent mais vite d en perdre. Ce n est rien d autre qu une stratgie prventive qui s inscrit dans une approche d intelligence conomique. Stratgie de scurit
Prvention Minimisation du risque et de ses impacts Assurance du risque
Dmarche d intelligence conomique
Prennit de l entreprise
Complmentarit des procdures, outils et personnes

MESURES DE SECURITE OUTILS
Chiffrement Filtrage Contrle d accs Primtre de scurit Etc.
PERSONNES
Sensibilisation Formation Contrle Surveillance
PROCEDURES
de gestion de contrle de surveillance d valuation de suivi de mise jour de sauvegarde de restauration de secours d exploitation lgislatives juridiques de crise Convention Scurit HSC 2005
CHAMP D APPLICATION
Systmes Rseaux Donnes Programmes Environnement physique Environnement nergtique
Les conditions du succs de la dmarche scurit

Une volont directoriale Une politique de scurit simple, prcise, comprhensible et applicable La publication de cette politique de scurit Une gestion centralise de la scurit et une certaine automatisation des processus de scurit Un niveau de confiance dtermin des personnes, des systmes Du personnel sensibilis et form la scurit, possdant une haute valeur morale Des procdures d enregistrement, de surveillance, d audit, d organisation Une certaine thique et un respect des contraintes lgales
Question simples mais rponses prcises

Quelles sont les valeurs de la Socit ? Quel est leur niveau de sensibilit ou de criticit ? De qui, de quoi doit-on se protger ? Quels sont les risques rellement encourus ? Ces risques sont-ils supportables et jusqu quel niveau ? Quel est le niveau actuel de scurit ? Quel est le niveau de scurit que l on souhaite atteindre ? Comment passer du niveau actuel au niveau dsir ? Quelles sont les contraintes effectives ? Quels sont les moyens disponibles ?
Une dmarche en 3 phases

1
Un projet d entreprise
Dfinir une politique de scurit Attribuer des responsabilits des personnes comptentes possdant l autorit et les moyens ncessaires Identifier les composants scuriser Dterminer les enjeux (importance du composant) Dfinir les menaces potentielles affectant le composant Estimer les failles de scurit du systme en place
2
Quantification et ralisation des mesures scuritaires
Proposer des recommandations chiffres Mettre en place des outils, mcanismes, procdures permettant de dployer les rgles de scurit
3
Grer le quotidien
Tester les mesures implantes Exploiter et administrer les outils dploys Auditer, valider et adapter les mesures en place
Politique de scurit : 9 axes complmentaires

Politique gnrale de scurit Traitement et protection de l information Sensibilisation Communication et reporting Scurit physique Conformit aux lois et rgles internes Scurit des infrastructures rseau & tlcom Scurit des applications Continuit de l activit
Prsentation des 9 modules de la Politique de Scurit
Toute musique qui ne peint rien n est que du bruit Jean le Rond d Alembert
Politique gnrale de scurit

Module n1 Organisation du Programme de Scurit Dfinition et attribution des responsabilits
La toile du programme de scurit dentreprise. Notion de filets.
Une Charte de Scurit dentreprise

Pourquoi et pour qui ? Qui en sont les acteurs et les rdacteurs ? Exemples de chartes dentreprise. Lgislation en vigueur.
Evaluation du niveau de scurit

Mthode SLAM (Security Level Analysis Method). Les 300 questions de SLAM. Le rapport dvaluation SLAM. La mesure annuelle.
Les standards de scurit dentreprise

Description des standards. Qualification des standards.
Traitement et protection de linformation

Module n2 Notion de proprit / Dlgation de proprit Classification de linformation
Les degrs : publique, interne, confidentielle, secrte. Les outils de classification. Les analyses de risque. Le suivi des risques.
Protection de linformation
Le chiffrement des donnes locales. Notion de cryptographie. Circulation scurise de linformation.
Disponibilit de linformation
Sauvegardes et restauration. Les mthodes actuelles (clustering, mirroring, SAN).
Confidentialit de linformation
Processus dadministration des droits. Authentification simple et forte.
Sensibilisation
Module n3 Sensibiliser le personnel = Faire accepter les contraintes Diffusion du programme de scurit Le rle des Ressources Humaines Le rle des Comits dEntreprise et des Partenaires Sociaux Les outils de diffusion du programme de scurit. Le programme de sensibilisation des collaborateurs
Le contrat de travail. Lentretien annuel dapprciation. Les journaux dinformation. Les sessions de formation internes et externes. Le parcours dintgration lentreprise.
Communication et reporting
Module n4 La prise en compte des spcificits gographiques et gopolitiques Les synergies internes
Communiquer le programme de scurit. LIntranet dEntreprise.
Le reporting DG - Datawarehouse
Linformation continue des dcideurs. La vente du programme de scurit au payeur.
La communication inter-correspondants
Synergie entre les Correspondants. Animation des rseaux de Correspondants.
Scurit physique
Module n5 Scurit des infrastructures physiques
Lanti-incendie. Lanti-intrusion. La gestion des composants nergtiques.
Scurit des matriels

Les onduleurs. Les zones et primtres de scurit. La gestion physique des sauvegardes. Lexternalisation.
Scurit des personnes Le Comit de Coordination Scurit des SI / Scurit des infrastructures physiques
Rle et prrogatives du Comit. Composition du Comit.
Conformit aux lois et rgles internes

Module n6 La veille juridique Implication de la Direction Juridique Implication des Partenaires Sociaux et des Comits dEntreprise Le rglement intrieur.
Mise en accord ou rvision.
Le flou juridique actuel

Jurisprudence sur lutilisation des systmes dinformation. Loi informatique et liberts . Loi Godfrain. Lgislation internationale.
Scurit des infrastructures rseaux et tlcoms

Module n7 (1) Infrastructure Rseaux et Tlcoms : tat de lart Les protocoles rseau : TCP/IP, SMTP, SNMP, HTTP, HTTPS, UDP Failles de scurit des protocoles de communication rseau Le rseau Internet
Historique organisationnel et technique Fonctionnement technique Relations avec les rseaux privs Failles de scurit du rseau Internet Banditisme et hacking Phreaking, Carding, Cracking Le monde underground La riposte internationale

Module n7 (2) Les attaques
Les attaques par protocole (IP Spoofing, Sinflooding) Les intrusions Les scans rseau Les virus, les chevaux de Troie, les bombes logiques
Description pratique : composition algorithmique du virus Attaque par cheval de Troie
Politique antivirus dentreprise Firewall

Description fonctionnelle Schma darchitecture de Firewall tude Paramtrage et maintenance du Firewall Produits du march

Module n7 (3) Les sondes de dtection dintrusion
Description fonctionnelle Analyse technique Intgration au schma darchitecture scurit Produits du march
Scurit des composants rseau

Routeurs Routeurs filtrants Oebs Lignes RNIS, LS, CFT
Scurit des machines serveurs

Les zones serveurs Les failles de scurit standards Approche UNIX Approche NT Approche NOVELL

Module n7 (4) Scurit des machines serveurs
Les serveurs WEB Architecture avec DMZ Attaques sur serveurs WEB Dni de service
Scurit des postes de travail

Les droits et privilges utilisateurs La politique de gestion de parc Les standards de malveillance interne Le chiffrement des donnes locales Le firewall personnel Relation avec la charte de dontologie

Module n7 (5) Scurit des communications
VPN (Virtual Private Network) tude technique et fonctionnelle Cryptographie Systmes cls publiques Systmes cls privs Certification et non rpudiation
Administration et organisation du rseau

Attribution et gestion des droits daccs aux systmes Attribution et gestion des droits daccs aux applications Monitoring et analyses des logs gnres
Authentification forte
Les cartes puce La biomtrie volution de la biotechnologie
Scurit des applications

Module n8 Analyses de risques du parc applicatif Schma du parc applicatif valuation du niveau de scurit des applications
Mthode dvaluation Classification Relations propritaires dapplication
Dveloppement et maintenance des applications

Normes de dveloppement Ergonomie des dveloppements
Intgration des applications externes

Analyse de risque. Analyse dintgration Mise jour du schma applicatif
Continuit dactivit
Module n9 (1) Le secours informatique La continuit dactivit des mtiers
prsentation gnrale gestion, maintenance et audit du plan de continuit dactivit organisation du plan de continuit dactivit plan de sauvegarde et darchivage les tests gestion de la crise gestion de la communication mesures conservatoires mesures durgence
Continuit dactivit
Module n9 (2) La continuit dactivit des mtiers
continuit des mtiers logistique de repli bascule serveurs reprise technique reprise fonctionnelle remise niveau du site sinistr exploitation et fonctionnement en mode secours retour gestion sociale trsorerie de crise
Scurit : photographie
Champ dapplication dun programme de scurit

Toutes les divisions de lentreprise, entits et lignes mtiers doivent appliquer le programme de scurit. Tous les traitements dinformation de lentreprise, sans exception, doivent se conformer aux exigences du programme de scurit. Les partenaires, les fournisseurs et les prestataires de service doivent se conformer aux rgles du programme de scurit. Les transactions avec les socits externes et les organisations que lentreprise sert ou qui servent lentreprise doivent suivre les principes du programme de scurit.
Obligations gnrales
Tout employ ou collaborateur de lentreprise doit se conformer aux exigences du programme de scurit et aux standards et procdures qui en rsultent. Aucune exception nest autorise sans une implication et une justification motive du Management. Un audit interne rgulier est responsable de vrifier rgulirement ladquation des modes de fonctionnement avec le programme de scurit de lentreprise.
Scurit des informations du Groupe : exigences gnrales.

La confidentialit de linformation est suffisamment assure. La confiance en lintgrit de linformation est convenablement assure. Linformation est disponible lorsque les mtiers en ncessitent lusage. La non rpudiation entre lentreprise et ses interlocuteurs est assure. Toutes les obligations lgales, statutaires, contractuelles et rgulatrices sont matrises et assures.
Scurit des informations : exigences gnrales.

Les utilisateurs du systme dinformation de lentreprise doivent tre identifis et lutilisation quils font des ressources valide et contrle. Laccs aux ressources de lentreprise doit tre bas sur les besoins exacts du mtier de chaque utilisateur. Ces accs doivent tre dcrits et valids par les propritaires dinformation.
Responsabilits
Direction Gnrale Responsables Mtiers Propritaire dinformation Gestionnaire de ressources Utilisateur Responsable Scurit des Systmes d Information Correspondants Scurit Entits (CSE) Correspondant Scurit Technique (CST) Correspondant Scurit Mtier (CSM)
Direction Gnrale
La Direction Gnrale est le moteur du Programme de Scurit Son soutien est essentiel pour le dploiement du programme de scurit La Direction Gnrale valide la politique de scurit, le programme de scurit et les projets induits La Direction Gnrale est informe rgulirement des avances du programme La Direction Gnrale est informe de toute atteinte la scurit des valeurs de l entreprise
Responsables Mtiers
Les Responsables Mtiers ont pleinement connaissance du programme de scurit Les Responsables Mtiers mettent leur position hirarchique au service du programme de scurit Les Responsables Mtiers sont garants de l implmentation du programme de scurit dans leurs aires de responsabilit Le RSSI doit fournir aux Responsables Mtiers les lments techniques ou de rflexion ncessaires la prise en compte de la scurit dans leurs mtiers
Propritaire dinformation
Le Propritaire dinformation doit sassurer des points suivants : Une analyse de risque lie aux ressources dont il est propritaire est conduite et son rsultat est cohrent. Des contrles sont appliqus pour vrifier ladquation avec les exigences de scurit dfinies par le programme (standards, prconisations suite lanalyse de risque). Les ressources sont rgulirement passes en revue pour vrifier leur conformit aux exigences de scurit. Laccs aux ressources est limit aux exigences du mtier des utilisateurs. Les droits daccs aux ressources sont dfinis, justifis et documents. Ils sont rgulirement vrifis et valids.
Gestionnaire de ressource
Les ressources appartenant des Propritaires sont administres, modifies, gres par des Gestionnaires. Le Gestionnaire de ressources cre, modifie, traite ou utilise les ressources. Chaque Gestionnaire doit tre en relation avec son CST ou son CSM. Chaque Gestionnaire doit rendre compte des volutions des ressources leur Propritaire.
Le Gestionnaire de ressources doit travailler avec son CST ou son CSM sur les points suivants : une analyse de risque est conduite pour chaque nouvelle ressource, des contrles sont implments suivant les prconisations du Propritaire ou de la politique gnrale de scurit, le Propritaire est tenu au courant de lvolution des risques et des ventuels incidents qui surviennent.
Utilisateur
Un utilisateur est un employ, un contractuel, un prestataire et plus gnralement toute personne utilisant une ressource. Lutilisateur doit se conformer aux rgles de scurit, quelle que soit son action (cration, modification, traitement, utilisation dinformation ou de ressources). Lutilisateur doit tre sensibilis et form aux rgles de scurit. Il doit avoir connaissance de ses droits et devoirs. Lutilisateur doit remonter vers sa hirarchie ou son Responsable Scurit toute forme datteinte la politique de scurit (dysfonctionnement des systmes, virus).
Responsable Scurit des SI

Le Service Scurit est responsable de la scurisation des processus et des transactions de lentreprise, de la dfinition de standards pertinents et de lapplication dun programme de scurit volutif. Le Service Scurit est responsable du programme de sensibilisation, de lexplication des actions de scurit et de la distribution des responsabilits, comme dfini dans le programme de scurit de lentreprise.
Responsable Scurit des SI

Le Service Scurit a les responsabilits suivantes : Evaluer et grer les risques informatiques, physiques et plus gnralement susceptibles d intenter au patrimoine informationnel. Rdiger et diriger un programme de scurit pertinent dans le but dimplmenter une politique de scurit dfinie. Diriger un programme de sensibilisation et dinformation auprs du personnel. Acqurir et organiser le dploiement doutils de scurit modernes et rpondant aux exigences du programme. Assurer une veille technologique constante dans le domaine de la scurit. Effectuer un reporting rgulier sur les volutions du programme scurit la Direction Gnrale.
CST
Correspondant Scurit Technique
Rle du CST
Promouvoir le programme de scurit dans son aire de responsabilit. Sassurer de la mise en uvre des orientations de scurit. Collaborer activement avec le RSSI. Le CST participe aux Comits de Suivi de lensemble des projets en cours dans son aire de responsabilit. Le CST conseille le Service Scurit sur les aspects techniques et participe au choix des produits de scurit. Le CST est pilote du dploiement des produits de scurit.
Profil du CST
Spcialiste des techniques utilises dans son aire de responsabilit. Sensibilis aux bases de la scurit des systmes dinformation. Motiv par les concepts lis la scurit des systmes dinformation. Curieux, communicatif et soucieux de sinvestir dans la scurisation des systmes dinformation.
Responsabilits du CST
Sassurer que lensemble des nouveaux projets intgrent une composante scurit. Sassurer que les oprations de maintenance et dvolution des systmes techniques se font en cohrence avec les exigences scurit. Sensibiliser, conseiller et proposer des solutions aux problmatiques de scurit, directement ou en collaboration avec le RSSI. Aider les Chefs de Projets intgrer la composante scurit de linitialisation aux phases finales des projets. tre en liaison avec les CSM ou CST impliqus lorsque cela est ncessaire. Se tenir au courant des volutions du programme de scurit.
Organisation
Les CST sont nomms par le Management Informatique. Le CST prend connaissance des orientations du programme de scurit et des standards propres son aire de responsabilit. Le CST participe la runion mensuelle des CST et du Service Scurit. CST UNIX, CST Novell, CST Rseau, CST NT, CST Technologies de Dveloppement
CSM
Correspondant Scurit Mtier
Rle du CSM
Promouvoir le programme de scurit dans son aire de responsabilit. Sassurer de la mise en uvre des orientations de scurit. Collaborer activement avec le RSSI. Le CSM participe aux Comits de Suivi de lensemble des projets en cours dans son aire de responsabilit. Le CSM conseille le Service Scurit sur les aspects mtiers et applicatifs et participe aux ventuels choix de produits de scurit.
Profil du CSM
Spcialiste des processus et des applications utiliss dans son aire de responsabilit. Sensibilis aux bases de la scurit des systmes dinformation. Motiv par les concepts lis la scurit des systmes dinformation. Curieux, communicatif et soucieux de sinvestir.
Responsabilits du CSM
Sassurer que lensemble des nouveaux projets intgrent une composante scurit. Sassurer que les oprations de maintenance et dvolution des processus mtier se font en cohrence avec les exigences scurit. Sensibiliser, conseiller et proposer des solutions aux problmatiques de scurit, directement ou en collaboration avec le RSSI. Aider les Chefs de Projets intgrer la composante scurit de linitialisation aux phases finales des projets. tre en liaison avec les CSM ou CST impliqus lorsque cela est ncessaire. Se tenir au courant des volutions du programme de scurit.
Organisation
Le CSM est nomm par la Direction Gnrale. Le CSM prend connaissance des orientations du programme de scurit et des standards propres son aire de responsabilit. Le CSM participe la runion trimestrielle des CSM et du Service Scurit.
CSE
Correspondant Scurit Entit
Rle du CSE
Promouvoir le programme de scurit du Groupe dans son entit. Sassurer de la mise en uvre des orientations de scurit. Collaborer activement avec le RSSI. Le CSE participe aux Comits de Suivi de lensemble des projets en cours dans sa filiale, au moins dans les phases initiales. Le CSE conseille le Service Scurit sur les aspects locaux et participe aux ventuels choix de produits de scurit adapts son environnement.
Profil du CSE
Matrise globale des processus et des applications utiliss dans sa filiale. Sensibilis aux bases de la scurit des systmes dinformation. Motiv par les concepts lis la scurit des systmes dinformation. Curieux, communicatif et soucieux de sinvestir.
Responsabilits du CSE
Sassurer que lensemble des nouveaux projets intgrent une composante scurit dans son entit. Sassurer que les oprations de maintenance et dvolution des processus mtier ou des architectures techniques locales se font en cohrence avec les exigences scurit. Sensibiliser, conseiller et proposer des solutions aux problmatiques scurit, directement ou en collaboration avec le RSSI. Aider les Chefs de Projets intgrer la composante scurit de linitialisation aux phases finales des projets. tre en liaison avec les CSM ou CST impliqus lorsque cela est ncessaire. Se tenir au courant des volutions du programme de scurit.
Organisation
Le CSE est nomm par la Direction Gnrale. Le CSE prend connaissance du Programme de Scurit global. Le CSE participe la confrence tlphonique mensuelle avec le Service Scurit. Le CSE participe au meeting annuel organis par le Service Scurit.
Les Standards Applicables Les projets fondateurs

Ce sont les petites prcautions qui conservent les grandes vertus Jean-Jacques Rousseau
Les Standards Gnraux

Rdaction et classification des standards de scurit de lentreprise Standards Politique Gnrale de Scurit - STPGxx Standards Traitement et protection de linformation STTPIxx Standards Sensibilisation - STSxx Standards Communication et reporting - STCRxx Standards Scurit physique - STSPxx Standards Conformit aux lois et rgles internes - STCxx Standards Infrastructure rseau et tlcom - STRTxx Standards Applications et dveloppements - STADxx Standards Continuit d activit - STACxx
Les Standards Techniques

Rdaction et classification des standards techniques de lentreprise Standards UNIX - STUxx Standards NOVELL - STNxx Standards NT - STNTxx Standards Architecture Internet - STIxx Standards ... - ST...xx
Qualification scurit du rseau (LAN et WAN)

valuation du niveau de scurit du rseau de lentreprise tude du rapport dvaluation et des prconisations Classification des prconisations Chiffrage des prconisations Priorisation des actions Planification des actions
Politique gnrale de scurit : Actions

Gestion du rseau des correspondants CSE, CSM, CST Dfinition et formation des propritaires Dfinition et formation des gestionnaires Programme de sensibilisation Les Comits de Scurit Veille technologique Scurisation des infrastructures physiques Rdaction du Plan ou du Schma Directeur et des budgets ...

Vincent Trely

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Vincent Trely

Загружено:

Авторское право:

Доступные форматы

Scurit des Systmes d information Vincent TRELY

Scurit des Systmes d Information

Une politique simple pour parler la Direction Gnrale De la thorie la pratique

Convention Scurit HSC 2005

Scurit des Systmes d information Vincent TRELY

Convention Scurit HSC 2005

Scurit des Systmes d information Vincent TRELY

Principe de base de la scurit

Minimiser les pertes financires, de savoirfaire et d image

Rduire les risques technologiques et informationnel un niveau acceptable pour l entreprise

Permettre un usage efficace et conomique des technologies

Convention Scurit HSC 2005

Scurit des Systmes d information Vincent TRELY

Objectif central de la scurit

Dmarche d intelligence conomique

Convention Scurit HSC 2005

Scurit des Systmes d information Vincent TRELY

Complmentarit des procdures, outils et personnes

Scurit des Systmes d information Vincent TRELY

Les conditions du succs de la dmarche scurit

Scurit des Systmes d information Vincent TRELY

Question simples mais rponses prcises

Scurit des Systmes d information Vincent TRELY

Une dmarche en 3 phases

Scurit des Systmes d information Vincent TRELY

Politique de scurit : 9 axes complmentaires

Scurit des Systmes d information Vincent TRELY

Prsentation des 9 modules de la Politique de Scurit

Convention Scurit HSC 2005

Scurit des Systmes d information Vincent TRELY

Politique gnrale de scurit

Une Charte de Scurit dentreprise

Evaluation du niveau de scurit

Les standards de scurit dentreprise

Scurit des Systmes d information Vincent TRELY

Traitement et protection de linformation

Scurit des Systmes d information Vincent TRELY

Convention Scurit HSC 2005

Scurit des Systmes d information Vincent TRELY

Convention Scurit HSC 2005

Scurit des Systmes d information Vincent TRELY

Scurit des matriels

Convention Scurit HSC 2005

Scurit des Systmes d information Vincent TRELY

Conformit aux lois et rgles internes

Le flou juridique actuel

Convention Scurit HSC 2005

Scurit des Systmes d information Vincent TRELY

Scurit des infrastructures rseaux et tlcoms

Scurit des Systmes d information Vincent TRELY

Scurit des infrastructures rseaux et tlcoms

Politique antivirus dentreprise Firewall

Scurit des Systmes d information Vincent TRELY

Scurit des infrastructures rseaux et tlcoms

Scurit des composants rseau

Scurit des machines serveurs

Scurit des Systmes d information Vincent TRELY

Scurit des infrastructures rseaux et tlcoms

Scurit des postes de travail

Convention Scurit HSC 2005

Scurit des Systmes d information Vincent TRELY

Scurit des infrastructures rseaux et tlcoms

Administration et organisation du rseau

Scurit des Systmes d information Vincent TRELY