1er semestre 2008 IUT Orsay Licence SRSI 1 Politique et management de la sécurité

1er semestre 2008IUT Orsay Licence SRSI1

Politique et management de la sécurité

Politique de sécurité


Le cadre de référence de la politique de sécuritéLa politique générale de sécuritéLe schéma d’organisation de la fonction

sécuritéLes directives générales et les procédures

Le reporting : les tableaux de bordLa sensibilisation

La politique générale de sécurité


Elle représente la position de la Direction Générale sur la protection de son système d’information

La PSSI vise à informer la maîtrise d’ouvrage et la maîtrise d'œuvre des

enjeux tout en l'éclairant sur ses choix en terme de gestion des risques

à susciter la confiance des utilisateurs et partenaires envers le système d'information.

Elle est spécifique à un organisme, à sa culture d'entreprise, à ses objectifs et ses métiers

Elle est établi en conformité avec : Les contraintes sectorielles La législation (textes légaux)

Définitions et propriétés


Elle est précédée par une analyse des risques Elle est au cœur de la norme ISO 27002 et est un

préalable indispensable à l'obtention de la certification 27001

Support important de sensibilisation, elle doit être diffusée, avec tous ses documents annexes, à tout les acteurs au sein de l'organisme

Elle doit évoluer dans le temps au sein du système de gestion de la sécurité, au travers de mesures et d'améliorations continues

La politique générale de sécurité Définitions et propriétés


Elle est émise sous la signature du dirigeant de la structure

Elle présente les grands concepts de la sécuritéElle explicite les enjeux de la sécurité pour la structureElle fixe les objectifs en termes de sécurité de

l’informationElle détaille pour chaque acteur les droits et les devoirs

vis-à-vis de la sécuritéElle est diffusée « personnellement » à chaque

collaborateur

La politique générale de sécurité La charte de sécurité


Elle présente les critères communs de sécurité s'appliquant à tous type de tiersSSII en régie ou au forfaitSociétés de maintenanceFournisseurs disposant d'accès en télémaintenancePartenaires accédant à certaines parties du SI

Elle pourra être annexée au contrat signé avec le tiers.Des dispositions particulières à chaque tiers

pourront être ajoutés utilement dans le document

La politique générale de sécuritéLa charte de sécurité pour les tiers


Elle présente les objectifs suivants :Définition claire des droits et devoirs des utilisateurs Informer des comportements à risque devant être

évités Informer sur la dimension juridique

Elle respecte les règles de bases suivantes : Transparence de la part de l'organisme sur les

moyens en place Discussion avec le CE, le CHSCT et les DP Respect des libertés individuelles Sensibilisation et formation à la sécurité de

l'information et aux outilsElle précise les sanctions encourues

La politique générale de sécurité La charte utilisateur du S.I.


Il précise :Les conditions d’accès aux informationsLes conditions de conservation, de transport et

de diffusion des informations de l’entité Il détaille les sanctions en cas de non respect

Il s’adresse À tous les collaborateurs de l’entité À toute personne devant accéder à des

informations quelque soit son lien avec l’entité et la nature de ses actions

Il est obligatoirement signé par la personne

La politique générale de sécuritéL’engagement de confidentialité


Il recense les missions / tâches liées à la sécuritéIl pré-positionne les rôles et responsabilités des

différents acteurs à l’égard des processus sécuritaires types, notamment en matière de :

Cadre général et pilotage de la sécurité; Mise en œuvre opérationnelle de la sécurité; Prise en compte de la sécurité dans les projets; Identification et évaluation des risques liés au système

d’information; Audits de sécurité du système d’information;

La politique générale de sécuritéLe schéma d’organisation de la fonction sécurité

Responsable Sécurité Systèmes d’Information(RSSI)

Maître d’ouvrage de la gestion des risques S.I.

Direction Générale

Directions opérationnelles Métiers

DSI

Responsable Sécurité Informatique(RSI)

Maître d’œuvre de la maîtrise des risques informatiques et télécoms

Division Risk Management

Correspondant. Sécurité Systèmes d’Information

(CSSI)

Interrelations fonctionnelles

Études & Développements

Architectes & Experts

Exploitants & Administrateurs

Interrelations fonctionnelles

Comité Directeur

Audit

Inspection Générale

Comité Risques

Commission Sécurité des Systèmes d’Information

(COSSI)

Instance d’orientation & d’arbitrage Maîtrise d’ouvrage SSIMaîtrise d’œuvre SSIInstance de pilotage et de coordinationInstance d’audit et de contrôleInstance d’enquêtes


La politique générale de sécurité Directives générales de sécurité (1/5)

Elles représentent le référentiel de sécurité de l’entrepriseElles regroupent par grands domaines les règles de sécurité

à respecterElles sont en ligne avec les enjeux, risques majeurs et

préoccupations prioritaires soulignés au sein du document de politique générale

Elles tiennent compte des principes sécuritaires déjà mis en œuvre, que ce soit au sein des infrastructures informatiques et de télécommunication proprement dites, comme au sein des processus métier

Elles sont réalisées à partir d’entretiens avec les différents responsables techniques et fonctionnels de l’entreprise


La politique générale de sécurité Directives générales de sécurité (2/5)

Origine Normes et standards (ISO 27002, IETF,…) Bonne pratiques de sécurité (CoBit) Recommandations (Bâle II, Commission bancaire,…) Expertises

Natures 15 directives à dominante informatique (réseaux, postes de

travail, Internet, messagerie électronique, téléphonie,…) 6 directives à dominantes non informatique (classification,

continuité des activités, ressources humaines,…)


La politique générale de sécuritéDirectives générales de sécurité (3/5)

Elles sont mises à jours régulièrement pour tenir compte des évolutions : technologiques (nouvel OS, nouveau langage de programmation,…) d’architecture physique ou logicielle

Elles sont diffusées largement et d’un accès aisé

Enoncé de la règleNiveau de sécurité

(S, R, M)Acteurs impliqués

Les dispositifs de filtrage, de commutation et de routage doivent être configurés pour garantir l’acheminement des seuls flux autorisés aux seuls destinataires devant les recevoir. S

Administrateur dispositifs de sécurité



Sécurité Standard (S) Il s’agit d’un principe ou d’une règle dont la mise en œuvre est

nécessaire, quelle que soit la criticité de la ressource sur laquelle il/elle est appliqué(e). Le niveau de sécurité standard correspond à la mise en œuvre de dispositifs relevant avant tout de « bonnes pratiques sécuritaires », dans le respect des principes et objectifs définis dans la Politique de Sécurité.

Sécurité Renforcée (R) Il s’agit d’un principe ou d’une règle dont la mise en œuvre est

souhaitable lorsque l'évaluation des menaces et des enjeux peut amener les Maîtrises d’Ouvrage à demander la mise en place de moyens de sécurité complémentaires sous la forme de dispositifs plus robustes.

Sécurité Maximale (M) Il s’agit d’un principe ou d’une règle dont la mise en œuvre est a priori

recommandée lorsque des situations spécifiques imposent la mise en œuvre de solutions « sur mesure » (non nécessairement du marché ou standard).



Les acteursMaitrise d’ouvrage

RSSI : Responsable de la Sécurité des Systèmes d’Information, Propriétaire d’information, Responsable métier / hiérarchique, Utilisateur

Maitrise d’œuvre Equipe développements, Architecte / expert sécurité SI,

Administrateur droits d’accès, Administrateur dispositifs de sécurité, Equipe exploitation, Responsable surveillance sécurité

Les fonctions supports Ressources humaines (formation, contrats de travail,

…), Juridique, Communication, etc. … Les fonctions de contrôle

Audit, Inspection, Contrôle des risques, etc. …


La politique générale de sécurité Procédures de sécurité

Décrivent une suite logique d'actions visant à atteindre un objectif

Rubriques d’une procédure L’élément déclenchant, Le responsable Les acteurs La description des tâches unitaires Les livrables attendus pour chaque tâche Les conditions de contrôle et de conservation des traces


Le reporting : Le tableau de bord

C’est un outil de synthèse et de visualisation de la politique de sécurité mise en œuvre:

Au niveau stratégique. Il permet:Le suivi de l’application de la politique de sécuritéDe se positionner vis-à-vis des autres structuresDe préparer les choix et les arbitrages

Au niveau du pilotage. Il permet :Le contrôle de la réalisationL’amélioration de la qualité

Au niveau opérationnel. Il permet :De mesurer la production et les efforts entrepris pour

atteindre les objectifsDe motiver et dynamiser les équipes


Il est constitué de différents indicateurs sélectionnés à partir des objectifs validés dans la politique de sécurité.

Les formats des indicateurs : Un dénombrement, Un degré mesuré ou estimé sur une échelle de valeur, Un taux, Un ratio, Une note estimée en fonction d’une grille de notation…



Ces indicateurs ont les qualités suivantes : Facilement quantifiables (construit à partir d’informations ou de

processus générant des informations quantifiables) afin de permettre des comparaisons (entre systèmes ou entre périodes). Il s’agit le plus souvent de pourcentage, de taux, de ratio, de moyenne et/ou de nombres « bruts »;

Les informations nécessaires doivent être faciles à obtenir et/ou collecter;

s’appuyer sur des processus « stables » et aisément « reproductibles » ;

permettre la mesure des évolutions suite à des actions correctives ; être fiable sur la durée et autoriser une analyse des écarts ;



Un indicateur possède les caractéristiques suivantes : Un indicateur est une donnée objective qui permet d’apprécier

une situation, du strict point de vue quantitatif. un référentiel (la performance à atteindre ou à respecter), un seuil d’alerte (niveau à partir duquel des actions

correctrices doivent être déclenchées), des points de mesure (les informations élémentaires à

collecter), une valeur (l’expression du constat : nombre, pourcentage,

différence...), une fréquence de calcul, une fréquence de diffusion, un responsable nommément désigné.



Proportion de traces contrôléeso Calcul : Volume des traces contrôlées x 100 / volume des traceso Valeur cible : 100%Évolution du nombre de comptes inutiliséso Calcul : Nombre de comptes inutiliséso Valeur cible : 0Renouvellement des sensibilisations et informations des personnels techniqueso Calcul : Somme des délais écoulés depuis la dernière sensibilisation ouinformation de chaque personnel technique / nombre de personnels techniqueso Valeur seuil : délai moyen maximal à fixer



La sensibilisation

C’est axe primordial da la politique de sécuritéElle concerne tous les collaborateurs de

l’entreprise quelque soit le métier exercé et le niveau de responsabilité

Elle doit être adaptée : Au profil des collaborateurs Au métier exercé dans l’entreprise

Elle peut porter sur un axe particulier de la sécurité et accompagner la mise en œuvre de pratiques nouvelles Lutte anti virale Renforcement de l’authentification


La sensibilisationElle n’est pas « unique »Elle peut prendre une forme ludique (quizz,

concours,…)Elle rappelle les obligations professionnelles et

légalesElle traite de cas concrets et d’évènements réelsElle prend des formes diverses

Interventions des dirigeants lors de manifestation Stage d’accueil Journal d’entreprise et campagne d’affichage dans les

locaux Messages sur l’Intranet ou à l’ouverture de session Jeux

Documents

1er semestre 2008 IUT Orsay Licence SRSI 1 Politique et management de la sécurité