La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

ISIQ – Institut de la sécurité de l’information du Québec La sécurité informationnelle, avoir une vision globale… 18 octobre 2007 Luc Poulin M.Sc CISSP-ISSMP.

Publié parAndrien Derrien Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "ISIQ – Institut de la sécurité de l’information du Québec La sécurité informationnelle, avoir une vision globale… 18 octobre 2007 Luc Poulin M.Sc CISSP-ISSMP."— Transcription de la présentation:

1 ISIQ – Institut de la sécurité de l’information du Québec La sécurité informationnelle, avoir une vision globale… 18 octobre 2007 Luc Poulin M.Sc CISSP-ISSMP CISA ift.a Officier de sécurité du CRIM Conseiller senior de l’ISIQ

2

3 Ressource informationnelle
La sécurité de l’information et l’organisation Contextes de gestion de la sécurité de l’information Contexte juridique 1..* 1..* Contexte d’affaire M / O Besoin d’affaire 1..* 1..* Contexte Technologique Critique 1..* Processus d’affaire Actif informationnel Critique Critique Personnes Processus Technologies Informations *..* Ressource informationnelle Critique 1..* Matériel Système Applications Données

4 La sécurité de l’information et l’organisation
Contexte juridique 1..* 1..* Contexte d’affaire 1..1 Plan de continuité des affaires 1..* Plan de relève 1..1 M / O Besoin d’affaire 1..* 1..* Contexte Technologique Critique 1..* Processus d’affaire Actif informationnel Critique Critique Personnes Processus Technologies Informations *..* Ressource informationnelle Critique 1..* Matériel Système Applications Données

5

6 Définitions Sécurité informationnelle : Protection des ressources informationnelles d'une organisation, face à des risques identifiés, qui résulte d'un ensemble de mesures de sécurité prises pour assurer la confidentialité, l'intégrité et la disponibilité de l'information traitée. Une ressource informationnelle peut être une ressource humaine, matérielle ou financière directement affectée à la gestion, à l'acquisition, au développement, à l'entretien, à l'exploitation, à l'accès, à l'utilisation, à la protection, à la conservation et à la destruction des éléments d'information. Une ressource peut donc être une personne, un fichier ou le système informatique lui-même. Actif informationnel : Inventaire présentant, à un moment déterminé, le portrait de l'ensemble des ressources informationnelles d'une entreprise ou d'une organisation, à l'exception des ressources humaines [OLFQ 2005]

7 La gestion de la SI, en quoi est-ce essentiel?
La sécurité ça dérange, mais il faut se conformer au contexte d’affaire, à la loi et à la technologie, et on peut être vérifié! Résistance des utilisateurs, ça complique leur travail! Les administrateurs ne comprennent pas toujours la portée d’un projet en sécurité, et se sentent souvent dépassés lorsqu’ils le comprennent! Solution : Programme de sensibilisation et de formation. Ça coûte cher, nous avons un budget très serré! Solution : Maximiser les investissements en sécurité en se limitant à la protection des ressources informationnelles critiques. Ça n’ajoute aucune fonctionnalité, performance ou convivialité; Permet l’ajout d’un niveau de confiance. Principe de la responsabilité des efforts. Environnement technologique de plus en plus complexe; Solution : Sensibilisation, formation, certification.

8 Les trois piliers de la sécurité, par ordre d’importance, en vue de protéger les informations
Procedimientos y métodos Personas con destrezas, capacitadas y motivadas Herramientas y equipos Les personnes Incluent les utilisateurs, les analystes, es techniciens, les gestionnaires, les administrateurs de systèmes… Tout le monde quoi! Appliquent les mesures de sécurité. Peuvent contourner la sécurité. Doivent être sensibilisées à leurs responsabilités et au pourquoi de la sécurité. Les processus La sécurité est principalement un ensemble de processus! Ex.: Politique de sécurité, analyse de risques, cadre de gestion de la sécurité, gestion des identités et des privilèges d’accès, audits, contingence, etc. La technologie Offre un ensemble d’outils pouvant être mis en place, pour compléter, vérifier ou automatiser certaines mesures de sécurité exigés par la Politique de sécurité.

9

10 Une vision globale des domaines de connaissance
Sécurité informationnelle Gestion de la sécurité (Gouvernance) Vérification et contrôle (Conformité) Ressources Informationnelles critiques Systèmes (Développement et évolution) Technologie (Acquisition, maintenance et contingence)

11 Une vision globale des domaines de connaissance
Selon leur profil, les personnes peuvent connaître plus d’un domaine de connaissance, par exemple : Louise, vérificatrice G 40 T 5 V 90 RI T 90 S 5 Jean, technologue RI G 80 T 20 S 20 V 20 Paul, gestionnaire RI T 5 S 90 Marie, développement RI Il faut savoir évaluer les domaines de connaissance en sécurité de notre interlocuteur Il faut savoir utiliser les forces présentes dans l’organisation

12

13 Gestion de la sécurité (Gouvernance)
L’ensemble des processus administratifs. Rôles et responsabilités, cadre de gestions, embauche, conformité légale, consultation, impartition, etc. Domaine de la sécurité : Couvert approximativement à 50% Quelques certifications professionnelles disponibles, dont : CISM, ISSMP, etc. Comprend : Directives, politiques, procédures, processus, etc. Plan de continuité, analyse de risques, gestion d’identité, etc.

14 Gestion de la sécurité (Gouvernance)
Plusieurs normes disponibles, dont : ISO/IEC ISO Management of information and communications technology security ISO Code of practice for information security management (ISO 17799) NIST/FIPS SP Risk Management Guide for Information Technology Systems, FIPS PUB 199 Standards for Security Categorization of Federal Information and Information Systems. FIPS PUB 200 Minimum Security Requirements for Federal Information and Information Systems. Etc…

15 Gestion de la sécurité (Gouvernance)
Quelques solutions : Tableau de bords qui permet d’assurer le suivi de conformité aux lois et règlements L’importance de la gestion du risque devient évident Plusieurs méthodologies d’analyse de risques sont disponibles : Mehari, EBios, Octave, etc. La gestion des identités et de accès Les M/O veulent savoir qui accède quoi, mais ce n’est pas si facile…

16

17 G Technologie Infrastructure et télécommunication (Acquisition , maintenance et contingence) T S RI V L’ensemble des outils technologiques et les processus qui en permettent l’acquisition, la configuration, l’utilisation, la gestion et la maintenance. Pare-feu, système de détection d’intrusion, copie de sauvegarde, RAID, antivirus, anti-espiogiciels, répertoires LDAP, etc. Domaine de la sécurité : Couvert approximativement à 90% Plusieurs certifications professionnelles disponibles dont : ITIL, SSCP, CISSP, ISSAP, ISSEP, GIAC Security Engineer, RSA Certified Systems Engineer, Cisco Firewall Specialist, SUSE Security Certifications, MCSE: Security on Microsoft Windows Server 2003, etc. Comprend : Gestion des configurations, gestion des incidents, plan de relève, configuration de règles de privilèges d’accès, périmètre de sécurité, etc. art One: Certifications Offered The table below displays many of the security certifications currently offered. The costs listed are for the exam only. Keep in mind that training classes and materials will significantly increase the cost in many cases. International Information Systems Security Certification Consortium (ISC)2 Vendor Site CISSP - Certified Information System Security Professional Requires: 1 Exam (250 questions, 6 hours) Approximate Cost = $450 SSCP - Systems Security Certified Practitioner Requires: 1 Exam (125 questions, 3 hours) Approximate Cost = $295 Prosoft Vendor Site CIW - Security Professional Requires: Master CIW Administrator Certification which includes 4 exams Approximate Cost = $500 ($125 per exam) SANS Vendor Site GSE - GIAC Security Engineer Requires: 7 Exams Approximate Cost = $1750 ($250 per exam) RSA Security Vendor Site RSA/CSE - RSA Certified Systems Engineer Requires: 1 Exam Approximate Cost = $150 RSA/CA - RSA Certified Administrator Requires: 1 Exam Approximate Cost = $150 RSA/CI - RSA Certified Instructors Requires: CSE or CA Cert + Workshop Approximate Cost = $300 ($150 per exam) CheckPoint Vendor Site CCSA - Check Point Certified Security Administrator Requires: 1 Exam Approximate Cost = $150 CCSE - Check Point Certified Security Engineer Requires: 1 Exam Approximate Cost = $150 Cisco Vendor Site Cisco Firewall Specialist Requires: CCNA + 2 Exams Approximate Cost = $375 ($125 per exam) Cisco VPN Specialist Requires: CCNA + 2 Exams Approximate Cost = $375 ($125 per exam) Cisco IDS Specialist Requires: CCNA + 2 Exams Approximate Cost = $375 ($125 per exam) CCSP - Cisco Certified Security Professional Requires: CCNA + 5 Exams Approximate Cost = $750 ($125 per exam) TruSecure Vendor Site TICSA - TruSecure ICSA Certified Security Associate Requires: 1 Exam (70 questions, 90 minutes) Approximate Cost = $295 TICSE - TruSecure ICSA Certified Security Engineer Requires: TICSA Cert + 1 Exam BrainBench Vendor Site BIS - Brainbench Internet Security Certification Requires: 1 Exam Approximate Cost = $25 BNS - Brainbench Network Security Certification Requires: 1 Exam Approximate Cost = $25 Learning Tree Vendor Site NSCP - Network Security Certified Professional Requires: 3 Core Courses, 1 Elective Course and associated exams Approximate Cost = $937- $2645 CompTIA Vendor Site Security+ Requires: 1 Exam Approximate Cost = $199 ($149 for CompTIA members) Security Certified Program Vendor Site SCNP - Security Certified Network Professional Requires: 2 Exams Approximate Cost = $300 ($150 per exam) SCNA - Security Certified Network Architect Requires: 2 Exams Approximate Cost = $360 ($180 per exam) Part Two: Top Ten Reasons to Get a Security Certification

18 G Technologie Infrastructure et télécommunication (Acquisition , maintenance et contingence) T S RI V Plusieurs normes disponibles, dont : Microsoft, Novell, RSA… ITIL, SANS, Critères Communs… NIST/FIPS SP Contingency Planning Guide for Information Technology Systems, SP Guide to Selecting Information Technology Security Products Et encore plus!!! art One: Certifications Offered The table below displays many of the security certifications currently offered. The costs listed are for the exam only. Keep in mind that training classes and materials will significantly increase the cost in many cases. International Information Systems Security Certification Consortium (ISC)2 Vendor Site CISSP - Certified Information System Security Professional Requires: 1 Exam (250 questions, 6 hours) Approximate Cost = $450 SSCP - Systems Security Certified Practitioner Requires: 1 Exam (125 questions, 3 hours) Approximate Cost = $295 Prosoft Vendor Site CIW - Security Professional Requires: Master CIW Administrator Certification which includes 4 exams Approximate Cost = $500 ($125 per exam) SANS Vendor Site GSE - GIAC Security Engineer Requires: 7 Exams Approximate Cost = $1750 ($250 per exam) RSA Security Vendor Site RSA/CSE - RSA Certified Systems Engineer Requires: 1 Exam Approximate Cost = $150 RSA/CA - RSA Certified Administrator Requires: 1 Exam Approximate Cost = $150 RSA/CI - RSA Certified Instructors Requires: CSE or CA Cert + Workshop Approximate Cost = $300 ($150 per exam) CheckPoint Vendor Site CCSA - Check Point Certified Security Administrator Requires: 1 Exam Approximate Cost = $150 CCSE - Check Point Certified Security Engineer Requires: 1 Exam Approximate Cost = $150 Cisco Vendor Site Cisco Firewall Specialist Requires: CCNA + 2 Exams Approximate Cost = $375 ($125 per exam) Cisco VPN Specialist Requires: CCNA + 2 Exams Approximate Cost = $375 ($125 per exam) Cisco IDS Specialist Requires: CCNA + 2 Exams Approximate Cost = $375 ($125 per exam) CCSP - Cisco Certified Security Professional Requires: CCNA + 5 Exams Approximate Cost = $750 ($125 per exam) TruSecure Vendor Site TICSA - TruSecure ICSA Certified Security Associate Requires: 1 Exam (70 questions, 90 minutes) Approximate Cost = $295 TICSE - TruSecure ICSA Certified Security Engineer Requires: TICSA Cert + 1 Exam BrainBench Vendor Site BIS - Brainbench Internet Security Certification Requires: 1 Exam Approximate Cost = $25 BNS - Brainbench Network Security Certification Requires: 1 Exam Approximate Cost = $25 Learning Tree Vendor Site NSCP - Network Security Certified Professional Requires: 3 Core Courses, 1 Elective Course and associated exams Approximate Cost = $937- $2645 CompTIA Vendor Site Security+ Requires: 1 Exam Approximate Cost = $199 ($149 for CompTIA members) Security Certified Program Vendor Site SCNP - Security Certified Network Professional Requires: 2 Exams Approximate Cost = $300 ($150 per exam) SCNA - Security Certified Network Architect Requires: 2 Exams Approximate Cost = $360 ($180 per exam) Part Two: Top Ten Reasons to Get a Security Certification

19 G Technologie Infrastructure et télécommunication (Acquisition , maintenance et contingence) T S RI V “By January 2007, anyone who banks online should be better protected against fraud and identity theft. A simple name and password combination will no longer be sufficient for most types of transactions. This increased security is mandated by the Federal Financial Institutions Examination Council (FFIEC) […] Any institution that is governed by one of those agencies is also covered by the new guidelines. And it also faces a potential fine or other penalty if it fails to comply.” Source: Banks scramble to boost online security NAC or Network access control and endpoints management (PDA, portable, ...) Etc. art One: Certifications Offered The table below displays many of the security certifications currently offered. The costs listed are for the exam only. Keep in mind that training classes and materials will significantly increase the cost in many cases. International Information Systems Security Certification Consortium (ISC)2 Vendor Site CISSP - Certified Information System Security Professional Requires: 1 Exam (250 questions, 6 hours) Approximate Cost = $450 SSCP - Systems Security Certified Practitioner Requires: 1 Exam (125 questions, 3 hours) Approximate Cost = $295 Prosoft Vendor Site CIW - Security Professional Requires: Master CIW Administrator Certification which includes 4 exams Approximate Cost = $500 ($125 per exam) SANS Vendor Site GSE - GIAC Security Engineer Requires: 7 Exams Approximate Cost = $1750 ($250 per exam) RSA Security Vendor Site RSA/CSE - RSA Certified Systems Engineer Requires: 1 Exam Approximate Cost = $150 RSA/CA - RSA Certified Administrator Requires: 1 Exam Approximate Cost = $150 RSA/CI - RSA Certified Instructors Requires: CSE or CA Cert + Workshop Approximate Cost = $300 ($150 per exam) CheckPoint Vendor Site CCSA - Check Point Certified Security Administrator Requires: 1 Exam Approximate Cost = $150 CCSE - Check Point Certified Security Engineer Requires: 1 Exam Approximate Cost = $150 Cisco Vendor Site Cisco Firewall Specialist Requires: CCNA + 2 Exams Approximate Cost = $375 ($125 per exam) Cisco VPN Specialist Requires: CCNA + 2 Exams Approximate Cost = $375 ($125 per exam) Cisco IDS Specialist Requires: CCNA + 2 Exams Approximate Cost = $375 ($125 per exam) CCSP - Cisco Certified Security Professional Requires: CCNA + 5 Exams Approximate Cost = $750 ($125 per exam) TruSecure Vendor Site TICSA - TruSecure ICSA Certified Security Associate Requires: 1 Exam (70 questions, 90 minutes) Approximate Cost = $295 TICSE - TruSecure ICSA Certified Security Engineer Requires: TICSA Cert + 1 Exam BrainBench Vendor Site BIS - Brainbench Internet Security Certification Requires: 1 Exam Approximate Cost = $25 BNS - Brainbench Network Security Certification Requires: 1 Exam Approximate Cost = $25 Learning Tree Vendor Site NSCP - Network Security Certified Professional Requires: 3 Core Courses, 1 Elective Course and associated exams Approximate Cost = $937- $2645 CompTIA Vendor Site Security+ Requires: 1 Exam Approximate Cost = $199 ($149 for CompTIA members) Security Certified Program Vendor Site SCNP - Security Certified Network Professional Requires: 2 Exams Approximate Cost = $300 ($150 per exam) SCNA - Security Certified Network Architect Requires: 2 Exams Approximate Cost = $360 ($180 per exam) Part Two: Top Ten Reasons to Get a Security Certification

20 G Technologie Infrastructure et télécommunication (Acquisition , maintenance et contingence) T S RI V Quelques solutions : Tableau de contrôle d’alertes techniques intégrés Outils qui analysent les données provenant des routeurs, pare feu, antivirus, IDS, etc. Computer Associates, QA Labs, projects SourceForge Gestionaire d’identité (Identity Manager) Outils permettant la gestion des identités et des accès Novell, Oracle et IBM Windows Vista : Enjeux de sécurité à considérer Source: art One: Certifications Offered The table below displays many of the security certifications currently offered. The costs listed are for the exam only. Keep in mind that training classes and materials will significantly increase the cost in many cases. International Information Systems Security Certification Consortium (ISC)2 Vendor Site CISSP - Certified Information System Security Professional Requires: 1 Exam (250 questions, 6 hours) Approximate Cost = $450 SSCP - Systems Security Certified Practitioner Requires: 1 Exam (125 questions, 3 hours) Approximate Cost = $295 Prosoft Vendor Site CIW - Security Professional Requires: Master CIW Administrator Certification which includes 4 exams Approximate Cost = $500 ($125 per exam) SANS Vendor Site GSE - GIAC Security Engineer Requires: 7 Exams Approximate Cost = $1750 ($250 per exam) RSA Security Vendor Site RSA/CSE - RSA Certified Systems Engineer Requires: 1 Exam Approximate Cost = $150 RSA/CA - RSA Certified Administrator Requires: 1 Exam Approximate Cost = $150 RSA/CI - RSA Certified Instructors Requires: CSE or CA Cert + Workshop Approximate Cost = $300 ($150 per exam) CheckPoint Vendor Site CCSA - Check Point Certified Security Administrator Requires: 1 Exam Approximate Cost = $150 CCSE - Check Point Certified Security Engineer Requires: 1 Exam Approximate Cost = $150 Cisco Vendor Site Cisco Firewall Specialist Requires: CCNA + 2 Exams Approximate Cost = $375 ($125 per exam) Cisco VPN Specialist Requires: CCNA + 2 Exams Approximate Cost = $375 ($125 per exam) Cisco IDS Specialist Requires: CCNA + 2 Exams Approximate Cost = $375 ($125 per exam) CCSP - Cisco Certified Security Professional Requires: CCNA + 5 Exams Approximate Cost = $750 ($125 per exam) TruSecure Vendor Site TICSA - TruSecure ICSA Certified Security Associate Requires: 1 Exam (70 questions, 90 minutes) Approximate Cost = $295 TICSE - TruSecure ICSA Certified Security Engineer Requires: TICSA Cert + 1 Exam BrainBench Vendor Site BIS - Brainbench Internet Security Certification Requires: 1 Exam Approximate Cost = $25 BNS - Brainbench Network Security Certification Requires: 1 Exam Approximate Cost = $25 Learning Tree Vendor Site NSCP - Network Security Certified Professional Requires: 3 Core Courses, 1 Elective Course and associated exams Approximate Cost = $937- $2645 CompTIA Vendor Site Security+ Requires: 1 Exam Approximate Cost = $199 ($149 for CompTIA members) Security Certified Program Vendor Site SCNP - Security Certified Network Professional Requires: 2 Exams Approximate Cost = $300 ($150 per exam) SCNA - Security Certified Network Architect Requires: 2 Exams Approximate Cost = $360 ($180 per exam) Part Two: Top Ten Reasons to Get a Security Certification

21 G Technologie Infrastructure et télécommunication (Acquisition , maintenance et contingence) T S RI V Outils de tests de vulnérabilités et de pénétration pour les PME et organisations qui inclus, sur un CD : Démarche méthodologique Meilleurs pratiques Gabarits et exemples Peut être utilisés pour réaliser des tests internes ou externes art One: Certifications Offered The table below displays many of the security certifications currently offered. The costs listed are for the exam only. Keep in mind that training classes and materials will significantly increase the cost in many cases. International Information Systems Security Certification Consortium (ISC)2 Vendor Site CISSP - Certified Information System Security Professional Requires: 1 Exam (250 questions, 6 hours) Approximate Cost = $450 SSCP - Systems Security Certified Practitioner Requires: 1 Exam (125 questions, 3 hours) Approximate Cost = $295 Prosoft Vendor Site CIW - Security Professional Requires: Master CIW Administrator Certification which includes 4 exams Approximate Cost = $500 ($125 per exam) SANS Vendor Site GSE - GIAC Security Engineer Requires: 7 Exams Approximate Cost = $1750 ($250 per exam) RSA Security Vendor Site RSA/CSE - RSA Certified Systems Engineer Requires: 1 Exam Approximate Cost = $150 RSA/CA - RSA Certified Administrator Requires: 1 Exam Approximate Cost = $150 RSA/CI - RSA Certified Instructors Requires: CSE or CA Cert + Workshop Approximate Cost = $300 ($150 per exam) CheckPoint Vendor Site CCSA - Check Point Certified Security Administrator Requires: 1 Exam Approximate Cost = $150 CCSE - Check Point Certified Security Engineer Requires: 1 Exam Approximate Cost = $150 Cisco Vendor Site Cisco Firewall Specialist Requires: CCNA + 2 Exams Approximate Cost = $375 ($125 per exam) Cisco VPN Specialist Requires: CCNA + 2 Exams Approximate Cost = $375 ($125 per exam) Cisco IDS Specialist Requires: CCNA + 2 Exams Approximate Cost = $375 ($125 per exam) CCSP - Cisco Certified Security Professional Requires: CCNA + 5 Exams Approximate Cost = $750 ($125 per exam) TruSecure Vendor Site TICSA - TruSecure ICSA Certified Security Associate Requires: 1 Exam (70 questions, 90 minutes) Approximate Cost = $295 TICSE - TruSecure ICSA Certified Security Engineer Requires: TICSA Cert + 1 Exam BrainBench Vendor Site BIS - Brainbench Internet Security Certification Requires: 1 Exam Approximate Cost = $25 BNS - Brainbench Network Security Certification Requires: 1 Exam Approximate Cost = $25 Learning Tree Vendor Site NSCP - Network Security Certified Professional Requires: 3 Core Courses, 1 Elective Course and associated exams Approximate Cost = $937- $2645 CompTIA Vendor Site Security+ Requires: 1 Exam Approximate Cost = $199 ($149 for CompTIA members) Security Certified Program Vendor Site SCNP - Security Certified Network Professional Requires: 2 Exams Approximate Cost = $300 ($150 per exam) SCNA - Security Certified Network Architect Requires: 2 Exams Approximate Cost = $360 ($180 per exam) Part Two: Top Ten Reasons to Get a Security Certification

22

23 Systèmes (Développement et évolution)
G Systèmes (Développement et évolution) T S RI V L’ensemble des processus et des outils technologiques qui permettent l’identification des besoins, l’acquisition, le développement et la maintenance de systèmes. Systèmes de commerce électronique, de comptabilité, des comptes à recevoir, de communication, etc. Domaine de la sécurité : Couvert approximativement à 20% Certification professionnelle : Aucune aujourd’hui, mais elles arrivent! Comporte : Cycle de vie d’un système, méthodologie de développement sécuritaire, norme de développement sécuritaire, modèle de conception sécuritaire, etc.

24 Systèmes (Développement et évolution)
G Systèmes (Développement et évolution) T S RI V Plusieurs normes disponibles, dont : NIST/FIPS SP Series Security Considerations in the Information System Development Life Cycle SP Draft Special Publication , Guide for Developing Performance Metrics for Information Security FIPS PUB 132 Guideline for Software Verification and Validation Plans (ANSI/IEEE ) SP Security Configuration Checklists Program for IT Products: Guidance for Checklists Users and Developers ISO JTC1-SC7 ISO/IEC Information technology – System and software integrity levels ISO/IEC Systems engineering – System life cycle processes ISO/IEC Systems and software engineering – Life cycle processes: Risk management ISO/IEC SSE-CMM (within CMMi) IEEE-CS IEEE Std 1540 IEEE Standard for Software Life Cycle Processes: Risk Management Etc.

25 Systèmes (Développement et évolution)
G Systèmes (Développement et évolution) T S RI V Phases de réalisation et cycle de vie d’un système Web Diachroniquement : un processus linéaire à l’intérieur d’un cycle récurrent Synchroniquement : un objet complexe Points de décision Objectifs Planification Réalisation Opération Évaluation Navigation Graphismes Structure Programmation Hébergement Alimentation en contenu

26 Systèmes (Développement et évolution)
G Systèmes (Développement et évolution) T S RI V Étape 1: Mettre en place le processus de sécurité des applications Web

27 Systèmes (Développement et évolution)
G Systèmes (Développement et évolution) T S RI V Identification et analyse des enjeux et des risques de sécurité Niveau de confiance (CC: Assurance Level) Préoccupations au niveau des processus Préoccupations au niveau du produit Méthodologies de développement Agile Environnements : Développement, tests, déploiement, production, archivage… Processus d’application sécuritaire et vérification des mesures de sécurité requises (MSA) Processus et techniques de développement qui inclus des tests de sécurité Contrôle, audit et certification de l’application

28

29 Vérification et contrôle (Conformité)
G T S RI V L’ensemble des processus de vérification et de contrôle s’appliquant aux trois autres domaines d’intervention de la sécurité informationnelle Domaine de la sécurité : Couvert approximativement à 40% Certification : CISA Comporte: Processus et mesures d’audit, de vérification et de certification, comités de vérification, etc.

30 Vérification et contrôle (Conformité)
G T S RI V Plusieurs normes disponibles, dont : ISACA CobiT Control Objectives for Information and Related Technology NIST/FIPS SP Guideline to Federal Organizations on Security Assurance and Acquisition/Use of Tested/Evaluated Products SP Security Self-Assessment Guide for Information Technology Systems SP Guide for the Security Certification and Accreditation of Federal Information Systems SP Recommended Security Controls for Federal Information Systems, including: Baseline Security Controls for Low, Moderate, and High-Impact Information Systems

31 Vérification et contrôle (Conformité)
G T S RI V Évènement récent En 2005, des élections municipales ont eu lieu dans la province de Québec. Des problèmes concernant les systèmes de votation électronique (SVE) ont été publicisés. Les citoyens du Québec ont demandés des réponses concernant la légitimité des résultats de l’élection. La gouvernement du Québec à décidé de réaliser un audit sur les différents SVE utilisés durant cet élection.

32 Vérification et contrôle (Conformité)
G T S RI V Audit des systèmes de votation électronique au Québec (Rapports publics disponibles) Création d’une norme québécoise de certification des SVE

33

34 Un spécialiste ou un expert en sécurité,
G Constats T S RI V Un spécialiste ou un expert en sécurité, ça n’existe pas! Comme il n’existe pas de spécialiste en médecine! Il existe des spécialistes du cœur, de l’œil, du cerveau… Le domaine de la SI est trop vaste! Sachez le domaine de connaissance que vous désirez, pour un travail précis! Sachez reconnaître le domaine d’expertise des personnes qui sont devant vous!

35 G Constats T S RI V Les préoccupations de sécurité informationnelle peuvent être abordées dans toutes les sphères d’une organisation, lorsque le retour sur l’investissement le justifie. Sensibiliser votre client sur le risque et l’impact d’un incident! Importance de sensibiliser, de former et de donner les bons outils à l’ensemble des intervenants concernés. Administrateurs, gestionnaires, utilisateurs, techniciens, analystes, développeurs, etc.

36 La SI – Avoir une vision globale
Merci de votre attention. Des questions? Luc Poulin M.Sc CISSP-ISSMP CISA ift.a Conseiller senior de l’ISIQ Chef de la sécurité du CRIM Courriel : Cette présentation a été réalisée avec la participation de M. Bruno Guay, conseiller senior en sécurité des TI.

Télécharger ppt "ISIQ – Institut de la sécurité de l’information du Québec La sécurité informationnelle, avoir une vision globale… 18 octobre 2007 Luc Poulin M.Sc CISSP-ISSMP."

Présentations similaires

MGP Groupe 30 Processus de projets, contrôle des risques

MGP Groupe 30 Processus de projets, contrôle des risques
[number 1-100].

[number 1-100].
Démarche Outsourcing SI

Démarche Outsourcing SI
1. Résumé 2 Présentation du créateur 3 Présentation du projet 4.

1. Résumé 2 Présentation du créateur 3 Présentation du projet 4.
Faculté des Sciences de la Santé

Faculté des Sciences de la Santé
© Copyright 2007 Arumtec. All rights reserved. Présentation Etude déligibilité

© Copyright 2007 Arumtec. All rights reserved. Présentation Etude déligibilité
Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.

Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.
D2 : Sécurité de l'information et des systèmes d'information

D2 : Sécurité de l'information et des systèmes d'information
LES BONNES PRATIQUES Présentation du 31 Mars 2005

LES BONNES PRATIQUES Présentation du 31 Mars 2005
Utilisation des données de S/E

Utilisation des données de S/E
La politique de Sécurité

La politique de Sécurité
Gestion des connaissances

Gestion des connaissances
Avis de lAQIISTI sur la formation infirmière en systèmes et technologies de linformation: composante essentielle au développement de la pratique infirmière.

Avis de lAQIISTI sur la formation infirmière en systèmes et technologies de linformation: composante essentielle au développement de la pratique infirmière.
User management pour les entreprises et les organisations Auteur / section: Gestion des accès.

User management pour les entreprises et les organisations Auteur / section: Gestion des accès.
Copyright © 2004, SAS Institute Inc. All rights reserved. Processus Stockés SAS une perspective analytique Sylvain Tremblay SAS Canada 25 avril 2006.

Copyright © 2004, SAS Institute Inc. All rights reserved. Processus Stockés SAS une perspective analytique Sylvain Tremblay SAS Canada 25 avril 2006.
L’audit assisté par ordinateur

L’audit assisté par ordinateur
La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.

La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.
Www.GestSIS.ch 1 5 octobre 2011 / paw Présentation du 7 octobre 2011.

1 5 octobre 2011 / paw Présentation du 7 octobre 2011.
Source compilation personnelle à partir d’études internationales

Source compilation personnelle à partir d’études internationales
1 Bienvenue! Ministère de lEmploi et de la Solidarité sociale Direction des ressources humaines La conduite dun projet de refonte dun intranet Pascale.

1 Bienvenue! Ministère de lEmploi et de la Solidarité sociale Direction des ressources humaines La conduite dun projet de refonte dun intranet Pascale.

Présentations similaires

Annonces Google