Upload
lykhanh
View
215
Download
0
Embed Size (px)
Citation preview
ISO 27001ISO 27001 –– Sécurité de l’informationSécurité de l’informationISO 27001 ISO 27001 Sécurité de l informationSécurité de l information
’ d d lL’ardente nécessité de manager la sécurité de l’Information
119/09/2010 – Marie DAVID – Présentation QuaRES
La sécurité des Systèmes d’InformationLa sécurité des Systèmes d’InformationLa sécurité des Systèmes d InformationLa sécurité des Systèmes d Information
A l ’issue de cette présentation, vous ne « saurez »… presque rien :-(p , p q (Mais vous aurez des idées sur… presque tout :-)
Objectifs de la présentation:Objectifs de la présentation:Appréhender les enjeux de la sécurité des systèmes d’information dans notre contexte
Découvrir la logique de la norme qui y est associée
Repositionner notre rôle dans ce contexte
Echanger autour de la questionEchanger autour de la question
La théorie …..et la pratiqueLa théorie …..et la pratiquep qp qUne présentation (ici et maintenant)
Une mise en pratique (l’atelier prévu demain matin)
229/09/2010 – Marie DAVID – Présentation QuaRES
Le laboratoire : un patrimoine scientifique convoité ? Le laboratoire : un patrimoine scientifique convoité ?
l t f ill dla réputation du
laboratoireLa valorisation de la
recherche
le portefeuille de contrats de recherche (organismes publics,
entreprisesentreprises privées…)
les données informationnelles
les compétences (savoir, savoir faire)
le potentiel technique (infrastructures,
installations, ( , ),matériels…)
339/09/2010 – Marie DAVID – Présentation QuaRES Joseph Illand – FSD du CNRS – présentation réunion des CRSSI 2007
…soumis à des menaces ?…soumis à des menaces ?
l’espionnage visant p gdes secrets de
défense à des fins de prolifération ou de
terrorisme
l’espionnage scientifique et
industriell’altération de
donnéesterrorisme
l ’atteinte à la disponibilité ,
intégrité, l ’utilisation
frauduleuse de moyens
l ’atteinte à des personnes ou des
confidentialité de l’information
moyens informatiques biens
mais aussi lesmais aussi les risques juridiques
(civils, pénaux)….
449/09/2010 – Marie DAVID – Présentation QuaRES Joseph Illand – FSD du CNRS – présentation réunion des CRSSI 2007
Les enjeux de la Sécurité des SILes enjeux de la Sécurité des SI
Disponibilité de Disponibilité de Intégrité des Intégrité des systèmes et dessystèmes et desll ’outil de travail’outil de travail systèmes et des systèmes et des
personnespersonnes
Protection deProtection de ProtectionProtectionProtection de Protection de données sensibles données sensibles • données du patrimoine
Protection Protection juridique juridique • Risques administratifs
scientifique• données de gestion• données individuelles
• Risques pénaux • Protection de l’image de
marque
559/09/2010 – Marie DAVID – Présentation QuaRES
Finalité «Finalité « protection du patrimoine scientifiqueprotection du patrimoine scientifique »»
Et la norme dans tout cela….Et la norme dans tout cela….Appréhender la sécurité de l’information sous l’angle du management permet de dépasser le stade purement technique de la SSIla SSI.
La sécurité…La technologie
La norme aide à :g
Piloter et organiserla sécurité des SI
La procédure
Sensibiliser lesutilisateurs
Discuter avec lespartenaires
L’individu
669/09/2010 – Marie DAVID – Présentation QuaRES
L’intérêt de l’approche par la normeL’intérêt de l’approche par la norme
Système de management
• Organisationnelles• Techniques
Ensemble de mesures Techniquesmesures
• D’atteindre un objectifPermettant • Une fois atteint, d’y rester dans la duréePermettant
Objectifs
Mes res
Objectifs
Mesurestechniques
PolitiquePolitiqueSituation actuelle
Situation visée
Mesuresorganisationnelles
779/09/2010 – Marie DAVID – Présentation QuaRES D’après une présentation de Robert LONGEON – Chargé de Mission SSI du CNRS
L’intérêt de l’approche par la normeL’intérêt de l’approche par la norme
Niveau direction
Définition des objectifs
PNiveau gestion du
système d'information
Niveau exploitation
Prévention des incidents
Mise en place des protections
DNiveaustratégique
p
Niveau surveillance du système d'information et maintenance
protections
Contrôle du système d'information
C
A
Pilotage de la sécurité
Niveau prise en charge des incidents et analyseRéaction sur
incident
ANiveau
organisationnel
Normes, règles, plans, procédures, recommandations, structures, …
Niveau opérationnel
Dispositifs techniques de protection et de contrôle, administrationDispositifs techniques de protection et de contrôle, administration système et réseau, outils d'audits et d'analyse des incidents, …
889/09/2010 – Marie DAVID – Présentation QuaRES D’après une présentation de Robert LONGEON – Chargé de Mission SSI du CNRS
La construction du SMSI La construction du SMSI ISO27001 F li ti dISO27001 Formalisation de
la gouvernance Documentation Communication
Exigences légales et
réglementaires
Audit
Exigences de sécurité
Exigences métiers et
référentiel SSI de l’organismeISO27005 ISO27004
A i
Appréciation du risque
Exigences de sécurité liées
aux enjeux
g
Indicateurs
Traitement du risque
Acceptation
Refus
T f tdu risque Transfert
RéductionObjectifs de
sécurité
Mesures de sécurité
(techniques et organisationnelles
Dispositifs de sécurité
(techniques et organisationnelles)g
)g )
ISO27002
999/09/2010 – Marie DAVID – Présentation QuaRES
ISO27002
Les différentes étapes de mise en place du SMSILes différentes étapes de mise en place du SMSI
10109/09/2010 – Marie DAVID – Présentation QuaRES
10
L’état des lieuxL’état des lieux• Inventaire des documents sécurité existants• Inventaire des mesures de sécurité ISO27002 déjà
appliquées• A quel degré sont-elles conformes au modèle PDCA ?• Quid de la gestion des documents ?
Q id d i i d i ?État des lieux
• Quid du suivi des actions ?• Existe-t-il une appréciation des risques (analyse de
risque) ?Y a t il une gestion des preuves des enregistrements ?• Y-a-t-il une gestion des preuves, des enregistrements ?
• Estimer la charge de travail pour intégrer les mesures de sécurité déjà en place dans une dé h lité (PDCA)Évaluation du démarche qualité (PDCA)
• Identifier les mesures de sécurité qu'il faut rajouter
Évaluation du projet 27001
11119/09/2010 – Marie DAVID – Présentation QuaRES
Le recensement des actifs sensiblesLe recensement des actifs sensibles
dont la perte, la modification ou la dégradation rend
impossible la poursuite de la missionmission
St té i i di blles actifs primordiaux : les processus et activités métier, les informations
Stratégiques, indispensables à l'atteinte des objectifs
déterminés par les orientations stratégiques
La norme ISO 27001 différentie
Onéreux, pour lesquelles la collecte, le stockage et le
traitement demandeLes actifs de soutien : le cadre organisationnel, les traitement demande
beaucoup de temps ou implique un coût d'acquisition
élevé
g ,sites géographiques, les
personnels, le réseau, les logiciels, le matériel..
12129/09/2010 – Marie DAVID – Présentation QuaRES
Apprécier les risquesApprécier les risquespp qpp q
Si une appréciation des Réviser l'appréciation des risques pour vérifier qu'elle est encorerisques existe déjà pour vérifier qu elle est encore
adéquate
Faire une « rétro-analyse » des risques (partir des mesures en place et en déduire les risques existants)
Pas d'appréciation des risques
Compléter l’appréciation ainsi ébauchée
Permet de faire le lien entre laPermet de faire le lien entre la politique du SMSI et les mesures
déjà en place
Déjà conformes au modèle PDCA
Identifier les mesures de sécurité
A adapter au modèle PDCA
13139/09/2010 – Marie DAVID – Présentation QuaRES
Non encore implémentées13
Les étapes nécessaires Les étapes nécessaires de la gestion du risquede la gestion du risque
A l d iA l d iAnalyse du risqueAnalyse du risque
Identification des actifs + Evaluation du risqueEvaluation du risqueresponsables
M
Evaluation du risqueEvaluation du risque
Menaces + vulnérabilités
I t d'
Évaluer la vraisemblance Traitement du risqueTraitement du risque
Impact d'une perte de
Confidentialité Intégrité
Disponibilité Identifier le t it t d
Sélectionner les mesures de Identifier les
Impacts business
Évaluer le risque
traitement du risque
mesures de sécurité
correspondantes
Identifier les risques résiduels
14149/09/2010 – Marie DAVID – Présentation QuaRES
Rédiger et mettre en place les procéduresRédiger et mettre en place les procéduresg p pg p p
15159/09/2010 – Marie DAVID – Présentation QuaRES
15
CommuniquerCommuniquer
• Compte tenu de l'investissement, insister sur les apports :
Avec la Avec la directiondirection
• Opérationnels• Financiersdirectiondirection • En terme d’image de sérieux
• Reprendre le coût des incidents de sécurité les plus récents
Avec les Avec les utilisateursutilisateurs
• Qualité et disponibilité du service• Prise en compte de leurs demandesp
16169/09/2010 – Marie DAVID – Présentation QuaRES
16
Auditer et itérerAuditer et itérer
Auditer par les membres du comité du
SMSI
Mettre en place un
programme d' dit
Réexaminer le périmètre d'audits
internesle périmètre
Rechercher et tester des indicateurs
Revoir la liste des actifs
Refaire l' é i ti
17179/09/2010 – Marie DAVID – Présentation QuaRES
l'appréciation des risques
Les 5 chapitres Les 5 chapitres qui construisent le SMSI
Établissement
4.2.1
DocumentationÉtablissement
du SMSI
5 4.3
Responsabilitéde la direction
Planifier(plan)4.2.2
4.2.4
Déployer Roue de
Mise à jour et amélioration du SMSIMise en œuvre et
fonctionnement du SMSI Agir
(Do) Deming8
(Act)
Amélioration du
Vérifier(Check)
6Amélioration du
SMSI
Surveillance et réexamen du SMSI
7
Réexamen du SMSI
Audits internes du SMSI
18189/09/2010 – Marie DAVID – Présentation QuaRES
réexamen du SMSI
4.2.3
par la direction
En conclusionEn conclusion
Augmente la fi bilité d
Augmente la fi bilité d
Obli àObli à
fiabilité de l’organisation
de façon
fiabilité de l’organisation
de façon Apporte laApporte laOblige à adopter de
bonnes
Oblige à adopter de
bonnes
de façon pérennede façon pérenne
Apporte la confiance aux
parties
Apporte la confiance aux
parties bonnes pratiquebonnes pratique prenantesprenantes
Manager la Manager la gsécurité de l’information par la mise
gsécurité de l’information par la misepar la mise
en place d’un SMSI
par la mise en place d’un
SMSI
19199/09/2010 – Marie DAVID – Présentation QuaRES