Gestion de la sécurité de l’information dans une organisation 14 février 2014 Agenda • Systèmes d’information • Concepts de sécurité SI • Gestion de la sécurité de l’information • Normes et méthodes de sécurité SI • Métier Sécurité SSI • Formations Sécurité SSI Savadogo Yassia 2 Systèmes d’information (SI) Définition • Ensemble organisé de ressources qui permet de regrouper, de classifier, de traiter et de diffuser de l'information dans une entreprise • Les ressources sont : ü Matériels ü Logiciels ü personnel ü Données ü Procédures Savadogo Yassia 3 Systèmes d’information (SI) SI considérés Savadogo Yassia 4 Systèmes d’information (SI) Sécurité des systèmes d’information • Ensemble des moyens techniques, organisationnels, juridiques et humains mis en place pour conserver, rétablir, et garantir la sécurité des systèmes d'information Savadogo Yassia 5 Concepts de sécurité SI Savadogo Yassia 6 Concepts de sécurité SI Définitions • Actif Tout élément du système d'information ayant de la valeur pour l'organisation Exemples : ü Personnel ü Information ü Matériels : Bâtiment, ordinateur, installation électrique,… ü Logiciels ü Bases de données ü Immatériel : image de l’organisation, réputation ü … Savadogo Yassia 7 Concepts de sécurité SI Définitions • Menaces ü Cause pouvant affecter la sécurité d’un actif ü Caractéristiques o Origine - Naturelle : incendie, inondation - Humaine Accidentelle : erreurs (saisie, bug) Délibéré : fraude, virus, intrusion,.. o Impact sur le système d’information et sur l’organisation Savadogo Yassia 8 Concepts de sécurité SI Définitions • Vulnérabilité ü Faille permettant à une menace de porter atteinte à la sécurité d’un actif ü Exemples - Détection / extinction d’incendie absente ou inefficace - Test insuffisant des logciels - Personnel insuffisamment formé - Antivirus non à jour - Architecture du système trop fragile - Copies de sauvegarde absentes ou non testées - Plan de reprise d’activités absent ou non testé Savadogo Yassia 9 Concepts de sécurité SI Définitions • Risque ü Probabilité qu’une menace exploite une vulnérabilité du système d’information pour affecter un actif de l’organisation ü Caractéristiques - Impact o Sur les actifs : Confidentialité, Intégrité, Disponibilité,… o Sur l’organisation : pertes financières, image,… - Probabilité / fréquence /opportunité Savadogo Yassia 10 Concepts de sécurité SI Définitions • Risque Savadogo Yassia 11 Gestion de la sécurité de l’information Objectif fondamental Savadogo Yassia 12 Gestion de la sécurité de l’information Gestion de la sécurité • Basée sur la gestion des risques • Aspect de la gestion de l’organisation • Elément de bonne gouvernance Savadogo Yassia 13 Gestion de la sécurité de l’information • L’évolution technologique continue entraine une sophistication et une diversification des menaces • Par conséquent, la gestion des risques doit être un processus continu • Ce qui nécessite une organisation permanente • D’où la nécessité d’un Système de Management de la Sécurité de l’Information (SMSI) dans les organisations Savadogo Yassia 14 Gestion de la Sécurité de l’information SMSI (Système de Management de la Sécurité de l’Information) Principes fondamentaux • Implication du management • Pilotage par les risques • Approche processus • Amélioration continue Savadogo Yassia 15 Gestion de la Sécurité de l’information Amélioration continue : Roue de Deming (PDCA) 1. Plan Identifier/évaluerle Risques et les actions adéquates 4. Act Rectifier Améliorer 2. Do Réaliser les action Informer/éduquer 3. Check Mesurer/évaluer les résultats Savadogo Yassia 16 Gestion de la Sécurité de l’information Audit de la sécurité SI • Examen méthodique d’une situation liée à la sécurité de l’information en vue de vérifier sa conformité à des objectifs, à des règles ou à des normes Savadogo Yassia 17 Gestion de la Sécurité de l’information Audit de la sécurité SI Savadogo Yassia 18 Gestion de la Sécurité de l’information Facteurs critiques de succès ü Support de la direction ü Stratégie définie niveau central mais mise en oeuvre en local ü Impact des risques pour l’organisation ü Sensibilisation / formation (personnel,…) ü Méthodes basées sur des standards ü Utilisation d’outils Savadogo Yassia 19 Normes et méthodes de sécurité SI • Existence de plusieurs normes, méthodologies et bonnes pratiques en matière de gestion de la sécurité des systèmes d’information Savadogo Yassia 20 Méthodes COBIT (Control Objectives for Information and Related Technology) • Cadre de contrôle visant à aider le management à gérer les risques et les investissements par la mise en place d’un système de contrôle interne au niveau SI pour que l’informatique reponde correctement aux a?entes de l’organisation CRAMM (CCTA Risk Analysis and Management Method) • Méthode d’évaluation à trois phases : identification des actifs, analyse des risques et définition des mesures de sécurité OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) • Analyse des risques de l’intérieur de l’organisation, exclusivment avec des ressources internes • Evaluation des vulnérabilités et des menaces sur les actifs opérationnels • Déclinée en 3 phases (1. Vue Organisationnelle, 2.Vue technique, 3. Développement de la stratégie de sécurité et de sa planification Savadogo Yassia 21 Méthodes MEHARI (Méthode Harmonisée d’Analyse de risques informatiques) • Définition des objectifs • Analyse de risques • Analyse de vulnérabités • Fourniture de plan d’opération et des tableaux de bord EBIOS (Expression des besoins et Identification des Objectifs de Sécurité) Savadogo Yassia • Apprécier et traiter les risques relatifs à la sécurité des systèmes d’information 22 Normes ISO2700X Savadogo Yassia 23 Normes ISO2700X • Mesures de sécurité de la norme ISO Savadogo Yassia 24 Normes ISO2700X • Approche processus de la gestion de la sécurité Savadogo Yassia 25 Normes ISO2700X ISO27001:2013 Savadogo Yassia 26 Référentiels et Normes Sécurité SI Exemple de Panorama Savadogo Yassia 27 Métier Sécurité SSI Responsable Sécurité des Systèmes d’Information (RSSI) Missions: • Définition de la politique de sécurité • Analyse des risques • Sensibilisation et formation aux enjeux de la sécurité • Etudes des moyens et préconisations • Audit et Contrôle • Veille technologique et prospective Savadogo Yassia 28 Métier Sécurité SSI Responsable Sécurité des Systèmes d’Information (RSSI) Répartitition des missions du RSSI “Menaces Informatiques et pratiques de sécurité en Fance”, CLUSIF.Edition 2012 Savadogo Yassia 29 Métier Sécurité SSI Responsable Sécurité des Systèmes d’Information (RSSI) De technicien à manager : Dilemme du RSSI Savadogo Yassia 30 Métier Sécurité SSI Responsable Sécurité des Systèmes d’Information (RSSI) Rattachement à la : • DSI? • DG? Lié peut être à la maturité en SSI de l’organisation? Savadogo Yassia 31 Formations Sécurité SSI • Formations universitaires ü Master o Informatique o Télécoms o Sécurité SI Savadogo Yassia 32 Formations Sécurité SSI • Certification Sécurité Technique Savadogo Yassia 33 Formations Sécurité SSI • Certification Sécurité Management Savadogo Yassia 34 Projets de formations de l’ANSSI-­‐‑BF • Cible : Informaticiens et Responsables SI des organisations • Calendriers et Coûts : seront fixés ultérieurement • Modules de formation en cours de validation ü Mise en place de politique de sécurité de l'information ü Gestion des risques ü Sécurité des sites web ü Gestion des incidents de sécurité ü Techniques d'investigations électroniques ü Sécurité des Bases de données ü Sécurité de l'information et développement d'application Savadogo Yassia 35 Conclusion Savadogo Yassia 36 Merci!!! Questions??? Savadogo Yassia 37