Upload
infopole-cluster-tic
View
62
Download
1
Embed Size (px)
Citation preview
Infopôle Juin 2015 1
Les Normes deSécurité de l’Information
Infopôle A.G.19 Juin 2015
MScIng ALLARD Jean-Luc, CISM
Infopôle Juin 2015 2
Agenda
• Les normes dans notre vie• Les normes de sécurité de l’information• Conclusion
Infopôle Juin 2015 3
Les normes dans notre vie
• Omniprésence• Buts:• Harmonie et interactions/interactivité• Tranquilité d’esprit et confiance
• Que montrent-elles?• Bonnes pratiques – recommandations• Etat de l’art• Exigences pour une certification
Infopôle Juin 2015 4
Les normes dans notre vie
• Qui cela concerne-t-il?• Les fabricants et producteurs• Contrainte associée à un coût
• … et les normes de sécurité?• Idem• 2 voies
• Safety• Sécurité
Infopôle Juin 2015 5
Les normes de Sécurité de l’Information• Le problème• Nous sommes tous concernés:
• consommateurs ET d’informations• Augmenter nos connaissances/compétences• Prendre des décisions • Mener des actions
• Information : concept mal perçu• Sécurité: mal comprise
Infopôle Juin 2015 6
Les normes de sécurité de l’information• Le champ d’actions• L’information• Son traitement, son stockage, sa communication• Quelque soit le support et le format
• Responsabilité:ISO/IEC JTC1 SC27• WG1 : SMSI• WG2: Cryptographie• WG3: Evaluation et certification• WG4: Techniques et technologie• WG5: Identité, accès et rPivacy
Infopôle Juin 2015 7
Les normes-clés de sécurité de l’information• WG1• 27001 et 27002 : SMSI et Code of Practices • 27000: Overview and vocabulary• 27017, 27018, 27011, 27015: Cloud, Telecom & Fincancial sector• 27006 et 27007: audit• 27003, 27004 et 27005: mise en œuvre du SMSI
• WG3: • 15408 et 15446: Critères Communs, Définition PP/ST• 21827: SSE-CMM
Infopôle Juin 2015 8
Les normes-clés de sécurité de l’information• WG4: • 27032: Cybersecurity• 27034: Application security• 27035: Incident management• 27036: Network security…
• WG5:• 24760: Identity management framework• 29190: Privacy capability assessment model• 29115: Entity authentication framework
Infopôle Juin 2015 9
La situation… peu lumineuse
• PME• Peu actifs• Peu concernés (‘je ne suis pas une cible’)• Mal informés = coût et charge
• Grandes entreprises et Industries (4.0)• Focus sur l’IT, pas sur l’information• Mise en place d’une grosse artilierie peu efficace• Pas de focalisation sur l’Important/Urgent
Infopôle Juin 2015 10
A considérer…
• 6 actions-clés• Identifier le Top 5 des informations• Qu’en fait-on et pourquoi?• Quelle est leur source?• Qui les exploite?• Qui est destinataire?• Quel canal de transmission?
• Classifier les informations et gérer les risques!• Dépendent du contexte interne et externe
Infopôle Juin 2015 11
Conclusions
• Les normes ‘rassurent’… c’est aussi le but de la sécurité• Les jormes de sécurité sont un objectif• Vers lequel on veut tendre…• … pour ce qui a de la valeur pour nous• Pas une obligation de ‘maximum’ partout et tout le temps
La sécurité est relative
Infopôle Juin 2015 12
People
Infopôle Juin 2015 13
Sourcing IT seems easy, .. But
Copyright 2012 Georges Ataya, ICTC.EU
many things can go wrong
Infopôle Juin 201514 |