La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Principes de sécurité Ref. : SP rev A

Publié parRobert Olivier Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "Principes de sécurité Ref. : SP rev A"— Transcription de la présentation:

1 Principes de sécurité Ref. : SP800-27 rev A
Qui suis-je ? Principes de sécurité Ref. : SP rev A Aujourd’hui Principes & lessons Mot de passe Gestion des sessions Semaine d’évaluation Votre devoir ? 17 principes couverts Non couvert par les questions: 24 à 32

2 Qui suis-je ? Il est important d’avoir une bonne compréhension des nouvelles menaces, d’effectuer une veille technologique et des audits. Principe 18 : Fournir l’assurance qu’un système continue de résister aux attaques connues et répertoriées. Effectuer une veille technologique et des audits.

3 Qui suis-je ? La plupart des organisations dépendent de manière significative sur les systèmes d'information distribués. Ces systèmes distribuent de l'information à la fois dans leur propre organisation et à d'autres organisations . Pour que la sécurité soit efficace dans de tels environnements , les concepteurs de programmes de sécurité devraient … ? Principe 12 : Si possible, utiliser des normes et standards de sécurité afin de faciliter la portabilité et l’interopérabilité. Par exemple, ne jamais développer sa solution cryptographique. compatibilité entre application (p.ex certificat (s-mine) entre fournisseurs différent. SIEM pour récupération syslog, etc.)

4 Qui suis-je ? Je permets de :
Maintenir la responsabilité et la traçabilité d'un utilisateur ou d'un processus. Attribuer des droits spécifiques à un utilisateur ou un processus individuel. Prévoir la non-répudiation. Appliquer les décisions de contrôle d'accès. Empêcher les utilisateurs non autorisés de passer pour un utilisateur autorisé. Principe 33 : Utiliser des identifiants uniques pour permettre la traçabilité.

5 Qui suis-je ? Je permets d’aller chercher le support de l’organisation pour mettre en place une sécurité de l’information. Je définis également les objectifs de sécurité ainsi que les rôles et responsabilités de la sécurité de l’information au sein de l’organisation. Principe 1 : Politique de sécurité Définir l’ensemble des politiques de sécurité sur lequel devra reposer la sécurité. Définir les objectifs en fonction de la confidentialité, de l’intégrité et de la disponibilité des actifs, en fonction de l’imputabilité des actions et du niveau d’assurance désiré.

6 Qui suis-je ? L’élimination de tous les risques n’est pas nécessairement rentable. Une analyse coûts-avantages devrait être effectuée pour chaque contrôle proposé. Dans certains cas, les avantages d'un système plus sécurisé ne peuvent pas justifier les coûts directs et indirects. Les avantages comprennent plus que la prévention de la perte monétaire; par exemple, les contrôles peuvent être essentiels pour maintenir la confiance du public. Il peut également être nécessaire de modifier ou d'ajuster les objectifs de sécurité due à d'autres exigences opérationnelles. Principe 5 :Réduire le risque à un niveau acceptable. Réduire l’impact d’une vulnérabilité. Réduire la vraisemblance d’une attaque. Principe 7 : Identifier les compromis entre la réduction d’un risque et l’augmentation des coûts ou la perte d’efficacité.

7 Qui suis-je ? Sans ce principe, il est à la fois difficile et coûteux de mettre en œuvre des mesures de sécurité correctement et avec succès après qu’un système a été mis en production. Principe 2 : Intégrer la sécurité au cœur même de l’architecture globale. Intégrer la sécurité dans tout le cycle de vie du système.

8 Qui suis-je ? Un système qui communique avec d’autres tiers, que ce soit des systèmes ou des utilisateurs ne peut pas considérer que les contrôles de ces tiers sont de confiance. Principe 6 : Supposer que toute interaction avec un tiers soit risquée. Que ce soit un système externe ou interne. Un système interne peut éventuellement être compromis et représenter un risque.

9 Qui suis-je ? Parfois, les composants pris sur étagère, soit ceux fabriqués en série et non pour un projet en particulier ne permettent pas d’atteindre les objectifs de sécurité. Principe 10 : Développer au besoin des produits spécifiques. attention au One Size Fit All

10 Qui suis-je ? Les menaces sont en constantes évolutions. Un mécanisme de sécurité qui est efficace en 2011 ne l’ait pas forcément en Ce faisant, chaque mécanisme de sécurité devrait être en mesure de soutenir la migration vers une nouvelle technologie ou mise à jour de nouvelles fonctionnalités. Principe 14 : Concevoir un système pour qu’il puisse être mis à jour simplement. L’absence de toute réévaluation d’un système peut mener à une fausse perception de sécurité et augmenter les risques sous-jacents. Les mécanismes de sécurité doivent être mis à jour au besoin sans nécessiter une nouvelle architecture.

11 Qui suis-je ? Une politique de sécurité de l’information régit un ensemble spécifique d'informations et de technologies de l'information qui peuvent traverser les frontières physiques définies dans des politiques de sécurité physique. De plus, il peut arriver qu’une seule machine ou serveur puisse accueillir à la fois des accès publics et de l'information sensibles. Principe 3 : Clairement déterminer les limites physiques et logicielles du périmètre de sécurité devant être régi par l’ensemble des politiques de sécurité.

12 Qui suis-je ? Un système d’information peut traiter, stocker et communiquer de l’information. Chacune de ses actions peut comprendre des vulnérabilités. Principe 9 : Protéger l’information en tout temps. Lors de son traitement, de son stockage ou de sa transmission.

13 Qui suis-je ? Une maintenance et une exploitation complexes d’un contrôle de sécurité , demande plus de formation, sont souvent moins efficaces et sont plus propices aux erreurs. Principe 15 : Chercher à simplifier l’utilisation d’un système. Plus il est difficile de maintenir et d’opérer un système, moins le système est efficace.

14 Qui suis-je ? Permet le maintien du fonctionnement d'une organisation en cas de catastrophe ou d'interruption de service prolongée qui affecte la mission de l'organisation. Principe 23 : Mettre en place des plans de continuité et de reprise pour s’assurer de la disponibilité d’un système.

15 Qui suis-je ? Identifier les interfaces externes du système d’information. Identifier les endroits où l’information entre et sort du système d’information. Identifier les ports, protocoles, les services qui sont requis pour le système d’information Etc. Principe 21: Déployer des mécanismes de sécurité à la frontière entre les systèmes. Déterminer les flots d’information. S’assurer de contrôler l’accès aux actifs critiques.

16 Qui suis-je ? Il est risqué de supposer que l’équipe de développeurs connaît les bonnes pratiques sécuritaires de développement et sait comment développer des logiciels sécurisés. Principe 4 : S’assurer que les concepteurs soient formés de façon adéquate pour traiter les problèmes de sécurité.

17 Qui suis-je ? Les besoins de sécurité des TI ne sont pas uniformes. Les concepteurs de systèmes et les professionnels de la sécurité devraient tenir compte des différents besoins. Ce faisant, la mise en œuvre des solutions d'assurance moins élevée avec des coûts moindres pour protéger les systèmes moins critiques et des solutions d'assurance plus élevés pour protéger les systèmes plus critiques. Principe 8 : Mettre en place des mesures de sécurité appropriées aux besoins d’affaire.

Télécharger ppt "Principes de sécurité Ref. : SP rev A"

Présentations similaires

L’Intéroperabilité. Sommaire  Définition  Développer l’intéroperabilité  Les différents degrés d’opérabilité  La nécessité des normes  Sources.

L’Intéroperabilité. Sommaire  Définition  Développer l’intéroperabilité  Les différents degrés d’opérabilité  La nécessité des normes  Sources.
 La vie  Le vieillissement  La vieillesse  L’autonomie  La place de la PA dans notre société  Les conséquences socio-économiques  Les PA dans le.

 La vie  Le vieillissement  La vieillesse  L’autonomie  La place de la PA dans notre société  Les conséquences socio-économiques  Les PA dans le.
Pour comprendre comment la créativité et l’innovation sont les moteurs de l’évolution technologique La commande par la pensée ? La commande par le mouvement.

Pour comprendre comment la créativité et l’innovation sont les moteurs de l’évolution technologique La commande par la pensée ? La commande par le mouvement.
Présentation de Scribe Votre nouvelle organisation du Réseau Informatique Pédagogique.

Présentation de Scribe Votre nouvelle organisation du Réseau Informatique Pédagogique.
Présentation LabPlus v3. Solution novatrice en Technologies de l’information Solution novatrice en Technologies de l’information Application pour la Gestion.

Présentation LabPlus v3. Solution novatrice en Technologies de l’information Solution novatrice en Technologies de l’information Application pour la Gestion.
Comité technique du 30/03/2012 Point d'étape sur l'assistance de la DISI Ouest.

Comité technique du 30/03/2012 Point d'étape sur l'assistance de la DISI Ouest.
1 Gestion Electronique de documents (GED) ✔ Définition Efficacité d'une entreprise dépend de la capacité à traiter et consulter les informations qu'elle.

1 Gestion Electronique de documents (GED) ✔ Définition Efficacité d'une entreprise dépend de la capacité à traiter et consulter les informations qu'elle.
L’évolution du SI. Introduction De nombreux éléments peuvent amener une organisation à faire évoluer son système d’information : Modification des besoins.

L’évolution du SI. Introduction De nombreux éléments peuvent amener une organisation à faire évoluer son système d’information : Modification des besoins.
La mise en réseau des ordinateurs à l'école Sources : Educnet christian.caleca.free.fr.

La mise en réseau des ordinateurs à l'école Sources : Educnet christian.caleca.free.fr.
Refonte du portail eaufrance Présentation du cadre de référence pour avis GCIB – 14/10/2014 – Anne Macaire.

Refonte du portail eaufrance Présentation du cadre de référence pour avis GCIB – 14/10/2014 – Anne Macaire.
Que faire? La recherche découverte. Dans une recherche découverte Sensibilisation ; Discussion ; Préparation-projet ; Opération-activités ; Réflexion.

Que faire? La recherche découverte. Dans une recherche découverte Sensibilisation ; Discussion ; Préparation-projet ; Opération-activités ; Réflexion.
1 Module de formation « ERP » Sommaire Master Spécialisé en Management des Technologies de l’Information EPITA M. Patrick SZYCHTER Mai 2006.

1 Module de formation « ERP » Sommaire Master Spécialisé en Management des Technologies de l’Information EPITA M. Patrick SZYCHTER Mai 2006.
ARCHITECTURE RESEAUX.

ARCHITECTURE RESEAUX.
Ce videoclip produit par l’Ecole Polytechnique Fédérale de Lausanne

Ce videoclip produit par l’Ecole Polytechnique Fédérale de Lausanne
Les stratégies de sécurisation numérique

Les stratégies de sécurisation numérique
Présenté par M. Anis DIALLO

Présenté par M. Anis DIALLO
GABTOUR EST UNE AGENCE DE VOYAGE EN LIGNE

GABTOUR EST UNE AGENCE DE VOYAGE EN LIGNE
épreuve E6 questionnement possible

épreuve E6 questionnement possible
Comment Sécuriser Le Système d’information de son entreprise

Comment Sécuriser Le Système d’information de son entreprise
Mars 2017 Politique de Sécurité Ionis-STM - David MARKOWICZ.

Mars 2017 Politique de Sécurité Ionis-STM - David MARKOWICZ.

Présentations similaires

Annonces Google