La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 Sécurité des systèmes dinformation Présenté par : M Khalid Safir Ministère des finances(Maroc) 21 Juin 2006.

Présentations similaires


Présentation au sujet: "1 Sécurité des systèmes dinformation Présenté par : M Khalid Safir Ministère des finances(Maroc) 21 Juin 2006."— Transcription de la présentation:

1 1 Sécurité des systèmes dinformation Présenté par : M Khalid Safir Ministère des finances(Maroc) 21 Juin 2006

2 2 Plan Enjeux de la sécurité Gouvernance SI et problématique du « Risk Management » Référentiels et Méthodologies Sécurité du SI à la TGR

3 3 Les enjeux de la sécurité de linformation

4 4 « Les systèmes dinformation font désormais partie intégrante du fonctionnement des administrations publiques, de lactivité des entreprises, et du mode de vie des citoyens. Les services quils assurent nous sont tout aussi indispensables que lapprovisionnement en eau ou en électricité. Pour lEtat il sagit dun enjeu de souveraineté nationale. Il a en effet la responsabilité de garantir la sécurité de ses propres systèmes dinformation, la continuité de fonctionnement des institutions et des infrastructures vitales pour les activités socioéconomiques du pays et la protection des entreprises et des citoyens. De leur côté, les entreprises doivent protéger de la concurrence et de la malveillance leur système dinformation qui irrigue lensemble de leur patrimoine (propriété intellectuelle et savoir faire) et porte leur stratégie de développement. »

5 5 Les enjeux de la sécurité de linformation Limiter les Risques Conformité Créer la valeur Productivité

6 6 Lévolution des menaces est liée à la transformation des systèmes dinformation (et des réglementations). Elle concerne essentiellement la malveillance (menaces dorigine humaine et intentionnelle). Quatre profils sont généralement définis : … et les menaces évoluent Les enjeux de la sécurité de linformation Ludique (sans profit) Cupide (pouvoir, argent) Terroriste (idéologique) Stratégique (économique, politique) Les menaces existent … Humaine IntentionnelleNon intentionnelle ExterneInterne Personnel insuffisamment qualifié Erreur humaine Piratage Sabotage Vol Matérielle Panne matériel Coupure électrique Incendie Dysfonctionnement matériel ou logiciel Naturelle Activité géologique Conditions météorologiques

7 propagation of malicious code widespread attacks using NNTP to distribute attack widespread attacks on DNS infrastructure executable code attacks (against browsers) automated widespread attacks GUI intruder tools hijacking sessions Internet social engineering attacks packet spoofing automated probes/scans widespread denial-of-service attacks techniques to analyze code for vulnerabilities without source code DDoS attacks increase in worms sophisticated command & control anti-forensic techniques home users targeted distributed attack tools increase in wide-scale Trojan horse distribution Windows-based remote controllable Trojans (Back Orifice) Intruder Knowledge Attack Sophistication stealth/advanced scanning techniques Source: CERT Carnegie Mellon University Les enjeux de la sécurité de linformation Sophistication des attaques et compétences des attaquants depuis 20 ans

8 8 Gouvernance SI et problématique du « Risk Management »

9 9 A la lumière de lévolution, aux cours de ces dernières années, de lenvironnement économique dans lequel évolue les entreprises, la gouvernance dentreprise est devenue un équilibre entre performance et conformité. Dès lors, la gouvernance de la sécurité de linformation, dans le sillage de la gouvernance des système dinformation, soutient à la fois la gouvernance institutionnelle en permettant de maîtriser et réduire les risques et la gouvernance dactivité en créant de la valeur et améliorant la performance. De la gouvernance dentreprise à la gouvernance de la sécurité de linformation:

10 10 La fonction sécurité se doit alors de prendre une nouvelle dimension, dépassant la simple «fonction de spécialistes». Il ne sagit plus seulement de séquiper de solutions de sécurité, mais de développer une véritable stratégie de sécurité à même : de supporter les enjeux métiers de lentreprise, qui se traduisent principalement par louverture de son système dinformation à lensemble de ses partenaires et par les nouveaux modes de communication (mobilité), de répondre aux contraintes légales et réglementaires (SOX, loi sur la sécurité financière, protection des données personnelles …), de prendre en compte lévolution de la complexité des menaces associée à lévolution des technologies supportant son système dinformation, et bien sûr de protéger son patrimoine informationnel et son infrastructure technique, au meilleur coût et en respectant la culture de lentreprise. La gouvernance de la sécurité de linformation devient un processus de management fondée sur la gestion du risque et la mise en œuvre de bonnes pratiques. Gouvernance SI et problématique du « Risk Management »

11 11 La gestion des risques doit permettre didentifier les événements de sécurité susceptibles de porter atteinte aux objectifs métiers de lentreprise. La gouvernance de la sécurité de linformation devient un processus de management fondé sur la gestion des risques Gouvernance SI et problématique du « Risk Management »

12 12 De la gouvernance aux opérations … de la responsabilité stratégique à la responsabilité opérationnelle Gouvernance Architecture et standards Politiques et Directives Sensibilisation Surveillance et conformité Définition et implémentation des systèmes Définition et implémentation des technologies Opérations Gestion du risques Périmètre Opérationnel Périmètre Stratégique Gouvernance SI et problématique du « Risk Management »

13 13 Contrôler et Superviser Améliorer Etablir le cadre général et Identifier les risques Modéliser et Implémenter Check Act Plan Pilotage et Organisation Analyse de risques Etudes Audit et contrôle Veille Etudes Définition de standards techniques Mise en œuvre opérationnelle Sensibilisation Mise en œuvre opérationnelle Les fondations du cadre de gestion de la sécurité Gouvernance SI et problématique du « Risk Management » Do

14 14 Référentiels et méthodologies Référentiels La norme ISO 17799:2005 La norme ISO ITIL COBIT Méthodes analyse des risques EBIOS MARION MEHARI, OCTAVE/USA ISO 13335

15 15 Référentiels COBIT En synthèse: COBIT sera utilisé dans le cadre de lamélioration globale des processus IT (métrique) COBIT et ISO peuvent être utilisés dans le cadre dun audit afin de déterminer les vulnérabilités et le niveau de sécurité. ITIL peut être utilisé pour améliorer les processus opérationnels IT ainsi que lISO / ISO dans une certaine mesure pour les processus « sécurité » et la sélection de contrôles.

16 16 Référentiels ISO 17799:2005

17 17 Référentiels ITIL: Information Technology Infrastructure Library Protection Authentication Access Provisioning Compliance Thèmes liés à la sécurité en fonction des processus ITIL : Incident Management, Service Desk, Problem Management, Configuration Management, Change Management, Continuity Management Continuity Management, SLA Management, Change Management, Release Management Configuration Management, SLA Management, Change Management, Service Desk, Release Management, Financial Mgmt Service Desk, SLA Management, Financial Management SLA Management, Service Desk, Availability Management, Financial Management

18 18 Méthodologies de réduction des risques Gérer les risques de sécurité : analyser et évaluer les menaces, impacts et vulnérabilités auxquels les actifs informationnels sont exposés et la probabilité de leur survenance. Déterminer les mesures de sécurité pouvant être implantées pour réduire les risques et leur impact à un coût acceptable.

19 19 Référentiels et méthodologies EBIOS: EBIOS: Méthodologie didentification des menaces et des vulnérabilités, analyse de risques, spécification des exigences de la sécurité MARION: MEHARI: MEthode harmonisée dAnalyse des Risques OCTAVE/USA : ISO :

20 20 Référentiel Sécurité du Ministère des Finances (CSSI : Cadre Stratégique des Systèmes dInformation) Audit DRPP en lan 2000 (plan de continuité) Audit dans le cadre du SDSIC Projet audit sécurité globale TGR « SI, Biens et Personnes » Sécurité SI à la TGR

21 21 Menaces Lindisponibilité des services offerts par la TGR Le paiement des commandes de lEtat et des collectivités locales ; La paie du personnel de lEtat ; Le recouvrement des impôts La gestion des comptes de dépôt au Trésor Dette extérieure et intérieure ….disponibilité de linformation Porter atteinte à lintégrité des informations de la TGR Lintégrité des données gérées par la TGR : - Virements entre comptables - Centralisation comptables Lintégrité des échanges avec les partenaires : Ministère des finances ( DB, DGI, ADII, DTFE..); Ordonnateurs et sous ordonnateurs ( Ministères, collectivités locales) Institutionnels (Banque centrale,Poste du Maroc,CDG…) Banques et établissements de crédit. Divulgation des informations confidentielles. Divulgation des données confidentielles : Rémunération du personnel de lEtat; Impôts des redevables; Les dépôts de la clientèle. Divulgation dinformations sensibles : Budget de certains départements ; ADN.. Incapacité de réunir les éléments probants et de disposer des preuves. Audit et inspection Contrôle interne ….. …Traçabilité de linformation ….intégrité de linformation....Confidentialité de linformation Sécurité SI à la TGR Pourquoi sécuriser le SI?

22 22 Norme: BS 7799 Recommandations: 1. Politique de sécurité 2. Sécurité de lorganisation Comité de pilotage : Responsable de la Sécurité du Système dInformation (RSSI) : Correspondants sécurité : 3. Classification et contrôle des actifs 4. Sécurité du personnel 5. Sécurité physique et sécurité de lenvironnement 6. Protection du réseau 7. Contrôle des accès 8. Développement et maintenance des applications 9. Gestion de la continuité des activités 10. Conformité Sécurité SI à la TGR CSI

23 23 l'information est une part essentielle du patrimoine TGR auquel on a besoin de répondre par des mesures de prévention et réaction elle est exposée à des menaces naturelles et humaines l'association de ces éléments constitue le risque elle est supportée par un système qui présente des vulnérabilités sa valeur, est plus au moins sensible L association sensibilité/ risque peut provoquer sinistre ayant un impact +/- fort Sécurité SI à la TGR

24 24 La rosace de sécurité: Sécurité SI à la TGR Audit dans le cadre du SDSIC

25 25 Recommandations : A très court terme Nommer un responsable de la sécurité du système dinformation de la Trésorerie Générale Sensibiliser lensemble du management de la Trésorerie Générale à la sécurité. A court terme Formaliser la mission (rôle et responsabilités) des propriétaires.Identifier les propriétaires de toutes les applications. Définir les critères de classification des informations.Former les propriétaires dapplications à leurs missions. Formaliser les procédures opérationnelles dintégration et de contrôle des spécifications de sécurité dans les applications des projets schéma directeur. Lancer létude de la vitalité des applications de la Trésorerie Générale.Définir un plan glissant sur 2 ans pour la mise en œuvre des recommandations. Sécurité SI à la TGR Audit dans le cadre du SDSIC

26 26 Phase 1 : Audit de sécurité Phase 4 Assistance à Maîtrise dOuvrage Phase 4 Assistance à Maîtrise dOuvrage Phase 2 Organisation de la sécurité Phase 3 Politique de sécurité Phase 3 Politique de sécurité AvrilMaiJuinJuilletAoûtSeptembre … Prise de connaissance Audit SI Audit Biens Audit Personnes Recommandations et plan daction Sécurité SI à la TGR Projet audit sécurité globale de la TGR:

27 27 Référentiel: BS7799 Méthode danalyse des risques: Ebios Sécurité SI à la TGR Projet audit sécurité globale de la TGR:

28 28 Merci pour Votre attention


Télécharger ppt "1 Sécurité des systèmes dinformation Présenté par : M Khalid Safir Ministère des finances(Maroc) 21 Juin 2006."

Présentations similaires


Annonces Google