Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Entreprise
  2. Management

Sécurité des systèmes d`information

publicité 
Sécurité des systèmes
d’information
Présenté par : M Khalid Safir
Ministère des finances(Maroc)
21 Juin 2006
1
Plan

Enjeux de la sécurité

Gouvernance SI et problématique du « Risk
Management »

Référentiels et Méthodologies

Sécurité du SI à la TGR
2
Les enjeux de la sécurité de l’information
3
Les enjeux de la sécurité de l’information

« Les systèmes d’information font désormais partie intégrante du
fonctionnement des administrations publiques, de l’activité des entreprises,
et du mode de vie des citoyens. Les services qu’ils assurent nous sont tout
aussi indispensables que l’approvisionnement en eau ou en électricité.

Pour l’Etat il s’agit d’un enjeu de souveraineté nationale. Il a en effet la
responsabilité de garantir la sécurité de ses propres systèmes
d’information, la continuité de fonctionnement des institutions et des
infrastructures vitales pour les activités socioéconomiques du pays et la
protection des entreprises et des citoyens.

De leur côté, les entreprises doivent protéger de la concurrence et de la
malveillance leur système d’information qui irrigue l’ensemble de leur
patrimoine (propriété intellectuelle et savoir faire) et porte leur stratégie de
développement. »
4
Les enjeux de la sécurité de l’information
Conformité
Limiter les Risques
Productivité
Créer la valeur
5
Les enjeux de la sécurité de l’information
… et les menaces évoluent
•L’évolution des menaces est liée à la
transformation
des
systèmes
d’information (et des réglementations).
Les menaces existent …
Humaine
Intentionnelle
Externe
Non intentionnelle
• Personnel
insuffisamment
Interne
qualifié
• Piratage
• Erreur humaine
•Sabotage
• Vol
•Elle
concerne essentiellement la
malveillance
(menaces
d’origine
humaine et intentionnelle).
•Quatre
profils sont généralement
définis :
Matérielle
Naturelle
• Panne matériel
• Coupure électrique
• Incendie
• Dysfonctionnement
matériel ou logiciel
• Activité géologique
• Conditions météorologiques

Ludique (sans profit)

Cupide (pouvoir, argent)

Terroriste (idéologique)
Stratégique
(économique, politique)

6
Les enjeux de la sécurité de l’information
• Sophistication des attaques et compétences des attaquants depuis 20 ans
email propagation of malicious code
DDoS attacks
“stealth”/advanced scanning
techniques
sophisticated command
& control
widespread attacks using NNTP to distribute
attack
widespread attacks on DNS
infrastructure
executable code attacks (against
browsers)
anti-forensic techniques
automated widespread attacks
home users targeted
GUI intruder tools
distributed attack tools
hijacking sessions
Internet social
engineering attacks
widespread
denial-of-service
attacks
automated probes/scans
packet
spoofing
1990
techniques to analyze
code for vulnerabilities
without source code
Intruder
Knowledge
increase in wide-scale
Trojan horse
distribution
Windows-based
remote controllable
Trojans (Back
Orifice)
Attack Sophistication
increase in worms
2003
Source: CERT Carnegie Mellon University
7
Gouvernance SI et problématique du « Risk
Management »
8
Gouvernance SI et problématique du « Risk
Management »
De la gouvernance d’entreprise à la gouvernance de la sécurité
de l’information:

A la lumière de l’évolution, aux
cours de ces dernières années, de
l’environnement économique dans
lequel évolue les entreprises, la
gouvernance
d’entreprise
est
devenue un équilibre entre
performance et conformité.

Dès lors, la gouvernance de la sécurité de l’information, dans le sillage de la
gouvernance des système d’information, soutient à la fois la gouvernance
institutionnelle en permettant de maîtriser et réduire les risques et la gouvernance
d’activité en créant de la valeur et améliorant la performance.
9
Gouvernance SI et problématique du « Risk
Management »

La fonction sécurité se doit alors de prendre une nouvelle dimension, dépassant la
simple «fonction de spécialistes».

Il ne s’agit plus seulement de s’équiper de solutions de sécurité, mais de développer
une véritable stratégie de sécurité à même :


de supporter les enjeux métiers de l’entreprise, qui se traduisent
principalement par l’ouverture de son système d’information à l’ensemble de
ses partenaires et par les nouveaux modes de communication (mobilité),

de répondre aux contraintes légales et réglementaires (SOX, loi sur la sécurité
financière, protection des données personnelles …),

de prendre en compte l’évolution de la complexité des menaces associée à
l’évolution des technologies supportant son système d’information,

et bien sûr de protéger son patrimoine informationnel et son infrastructure
technique, au meilleur coût et en respectant la culture de l’entreprise.
La gouvernance de la sécurité de l’information devient un processus de management
fondée sur la gestion du risque et la mise en œuvre de bonnes pratiques.
10
Gouvernance SI et problématique du « Risk
Management »
• La gouvernance de la sécurité de l’information devient un
processus de management fondé sur la gestion des risques
La gestion des risques doit
permettre d’identifier les
événements de sécurité
susceptibles de porter atteinte aux
objectifs métiers de l’entreprise.
11
Gouvernance SI et problématique du « Risk
Management »

De la gouvernance aux opérations … de la responsabilité stratégique à la
responsabilité opérationnelle
Gouvernance
Politiques et Directives
Définition et
Définition et
implémentation des implémentation des
systèmes
technologies
Opérations
Gestion du risques
Sensibilisation
Architecture et standards
Surveillance et conformité
Périmètre Stratégique
Périmètre Opérationnel
12
Gouvernance SI et problématique du « Risk
Management »
• Les fondations du cadre de gestion de la sécurité



Pilotage et Organisation
Analyse de risques
Etudes

Plan
Mise en œuvre
opérationnelle
Etablir le cadre
général et Identifier
les risques
Do




Etudes
Définition de
standards
techniques
Mise en œuvre
opérationnelle
Sensibilisation
Modéliser et
Implémenter
Améliorer
Act
Contrôler et
Superviser
Check

Audit et contrôle
13
Référentiels et méthodologies
Référentiels
La norme ISO
17799:2005
La norme ISO 27001
ITIL
COBIT
Méthodes analyse
des risques
EBIOS
MARION
MEHARI,
OCTAVE/USA
ISO 13335
14
Référentiels
COBIT
IT Processes
DOMAINS
PROCESSES
ACTIVITIES
IT
Infrastructure
Information
Ef
fe
ct
i
Ef ven
f
C i cie ess
on n
fid c y
I n ent
te ia
gr lit
A
va ity y
C ila b
om i l
p l it y
i
R an
c
el
People
ia e
bi
li t
Applications
y
Business Requirements
es
c
ur
o
s
Re
En synthèse:

COBIT sera utilisé dans le cadre de l’amélioration globale des processus IT (métrique)

COBIT et ISO 17799 peuvent être utilisés dans le cadre d’un audit afin de déterminer les
vulnérabilités et le niveau de sécurité.

ITIL peut être utilisé pour améliorer les processus opérationnels IT ainsi que l’ISO 17799 / ISO
27001 dans une certaine mesure pour les processus « sécurité » et la sélection de contrôles.
15
Référentiels
• ISO 17799:2005
16
Référentiels
ITIL: Information Technology Infrastructure
Library
Thèmes liés à la sécurité en fonction des processus ITIL :
Access
Provisioning
Protection
Compliance
Authentication
Incident Management,
Service Desk,
Problem Management,
Configuration Management,
Change Management,
Continuity Management
Continuity Management,
SLA Management, Change
Management,
Release
Management
Configuration
Management, SLA
Management,
Change
Management,
Service Desk,
Release
Management,
Financial Mgmt
Service Desk, SLA
Management,
Financial
Management
SLA Management,
Service
Desk,
Availability
Management,
Financial
Management
17
Méthodologies de réduction des risques

Gérer les risques de sécurité : analyser et évaluer les menaces, impacts et
vulnérabilités auxquels les actifs informationnels sont exposés et la
probabilité de leur survenance. Déterminer les mesures de sécurité pouvant
être implantées pour réduire les risques et leur impact à un coût acceptable.
18
Référentiels et méthodologies

EBIOS: Méthodologie d’identification des menaces et des vulnérabilités,
analyse de risques, spécification des exigences de la sécurité

MARION:

MEHARI: MEthode harmonisée d’Analyse des Risques

OCTAVE/USA :

ISO 13335 :
19
Sécurité SI à la TGR

Référentiel Sécurité du Ministère des Finances (CSSI :
Cadre Stratégique des Systèmes d’Information)



Audit DRPP en l’an 2000 (plan de continuité)
Audit dans le cadre du SDSIC
Projet audit sécurité globale TGR « SI, Biens et
Personnes »
20
Sécurité SI à la TGR
Pourquoi sécuriser le SI?
Porter atteinte à l’intégrité des informations
de la TGR
L’indisponibilité des services offerts
par la TGR
L’intégrité des données gérées par la TGR :
- Virements entre comptables
- Centralisation comptables
• Le paiement des commandes de l’Etat et des
collectivités locales ;
• La paie du personnel de l’Etat ;
• Le recouvrement des impôts
• La gestion des comptes de dépôt au Trésor
• Dette extérieure et intérieure
L’intégrité des échanges avec les partenaires :
• Ministère des finances ( DB, DGI, ADII, DTFE..);
• Ordonnateurs et sous ordonnateurs ( Ministères,
collectivités locales)
• Institutionnels (Banque centrale,Poste du
Maroc,CDG…)
• Banques et établissements de crédit.
….disponibilité de l’information
….intégrité de l’information.
Menaces
Divulgation des informations confidentielles.
Divulgation des données confidentielles :
•Rémunération du personnel de l’Etat;
•Impôts des redevables;
•Les dépôts de la clientèle.
Divulgation d’informations sensibles :
•Budget de certains départements ;
ADN..
...Confidentialité de l’information
Incapacité de réunir les éléments probants et
de disposer des preuves.
Audit et inspection
Contrôle interne
…..
…Traçabilité de l’information
21
Norme: BS 7799
Sécurité SI à la TGR
CSI
Recommandations:
1. Politique de sécurité
2. Sécurité de l’organisation

Comité de pilotage :

Responsable de la Sécurité du Système d’Information (RSSI) :

Correspondants sécurité :
3. Classification et contrôle des actifs
4. Sécurité du personnel
5. Sécurité physique et sécurité de l’environnement
6. Protection du réseau
7. Contrôle des accès
8. Développement et maintenance des applications
9. Gestion de la continuité des activités
10. Conformité
22
Sécurité SI à la TGR
sa valeur, est plus
au moins sensible
L ’association
sensibilité/ risque
peut provoquer
sinistre ayant un
impact +/- fort
elle est exposée à des
menaces naturelles et
humaines
l'information est une
part essentielle du
patrimoine TGR
l'association de
ces éléments
constitue le risque
auquel on a
besoin de
répondre par
des mesures
de
prévention
et réaction
elle est supportée par un
système qui présente des
vulnérabilités
23
Sécurité SI à la TGR
Audit dans le cadre du SDSIC

La rosace de sécurité:
L'organisation générale
La sécurité des progiciels
3,5
Les contrôles permanents
Les contrôles programmés
La réglementation
3
Sécurité des développements applicatifs
Les facteurs socio-économiques
2,5
Les procédures de réception
L'environnement de base
2
1,5
La maintenance
Les contrôles d'accès
1
La sûreté de l'exploitation
La pollution
0,5
0
La sauvegarde
Les consignes de sécurité
Le transfert classique des données
La sécurité incendie
L'archivage / désarchivage
La sécurité dégâts des eaux
La protection des données
La fiabilité de fonctionnement des matériels informatiques
La sécurité des télécommunications
La sécurité offerte par le matériel et le logiciel de base
Les plans informatique et de sécurité
Les systèmes et procédures de secours
Cohérence des systèmes
Formation du personnel
24
Sécurité SI à la TGR
Audit dans le cadre du SDSIC
Recommandations :
A très court terme

Nommer un responsable de la sécurité du système d’information de la Trésorerie
Générale

Sensibiliser l’ensemble du management de la Trésorerie Générale à la sécurité.
A court terme

Formaliser la mission (rôle et responsabilités) des propriétaires.Identifier les
propriétaires de toutes les applications.

Définir les critères de classification des informations.Former les propriétaires
d’applications à leurs missions.

Formaliser les procédures opérationnelles d’intégration et de contrôle des
spécifications de sécurité dans les applications des projets schéma directeur.

Lancer l’étude de la vitalité des applications de la Trésorerie Générale.Définir un plan
glissant sur 2 ans pour la mise en œuvre des recommandations.
25
Sécurité SI à la TGR
Projet audit sécurité globale de la TGR:
Avril
Mai
Juin
Juillet
Août
Septembre
…
Phase 1 : Audit de sécurité
Prise de
connaissance
Audit SI
Audit
Biens
Audit
Personnes
Recommandations
et plan d’action
Phase 2
Organisation
de la sécurité
Phase 3
Politique de
sécurité
Phase 4
Assistance à Maîtrise d’Ouvrage
26
Sécurité SI à la TGR
Projet audit sécurité globale de la TGR:
Référentiel: BS7799
Méthode d’analyse des risques: Ebios
27
Merci pour Votre attention
28
Documents connexes
FroggedTV N°4 - Crossword Labs
FroggedTV N°4 - Crossword Labs
Fichier joint - Avis complémentaire en ligne
Fichier joint - Avis complémentaire en ligne
l`affaire de tous
l`affaire de tous
Mes médicaments à l`Hôpital
Mes médicaments à l`Hôpital
Télécharger l`organigramme
Télécharger l`organigramme
L`audit interne et les corps d`inspection
L`audit interne et les corps d`inspection
AUDITEUR INFORMATIQUE - Banque centrale du Luxembourg
AUDITEUR INFORMATIQUE - Banque centrale du Luxembourg
CV Ekke Munz - Management de transition
CV Ekke Munz - Management de transition
audit et ctrl de gestion
audit et ctrl de gestion
audit et ctrl de gestion
audit et ctrl de gestion
Océane Consulting (Tanaguru)
Océane Consulting (Tanaguru)
fiche de liaison [PDF - 125 Ko ] - UFR SESS - STAPS
fiche de liaison [PDF - 125 Ko ] - UFR SESS - STAPS
division des infrastructures routieres subsidiees
division des infrastructures routieres subsidiees
l`audit de la situation marketing
l`audit de la situation marketing
Foire aux questions (FAQ) - Canadian Patient Safety Institute
Foire aux questions (FAQ) - Canadian Patient Safety Institute
Liste des formations concernées par le calendrier de toutes les
Liste des formations concernées par le calendrier de toutes les
cuirriculum vitae
cuirriculum vitae
File - Faculté des sciences économiques, des sciences
File - Faculté des sciences économiques, des sciences
Qualité en santé : expérience en imagerie médicale
Qualité en santé : expérience en imagerie médicale
Fiche de liaison - Université Paris 1 Panthéon
Fiche de liaison - Université Paris 1 Panthéon
Téléchargement
publicité