La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Plan Connaitre les risques pour les maîtriser Vision stratégique de la sécurité Définir une stratégie de sécurité Prise en compte des besoins juridiques.

Présentations similaires


Présentation au sujet: "Plan Connaitre les risques pour les maîtriser Vision stratégique de la sécurité Définir une stratégie de sécurité Prise en compte des besoins juridiques."— Transcription de la présentation:

1 Plan Connaitre les risques pour les maîtriser Vision stratégique de la sécurité Définir une stratégie de sécurité Prise en compte des besoins juridiques Sécurité et société de l information Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 111

2 1. Connaitre les risques pour les maîtriser Pour une entreprise, lobjectif de la sécurité informatique est de garantir quaucune perte ne puisse mettre en danger son développement. Exemple : Il faut réduire la probabilité de voir des risques se concrétiser, à diminuer les atteintes ou dysfonctionnements, et permettre le retour à un fonctionnement normal à des coûts et des délais acceptables en cas d incident. Une stratégie de sécurité est élaborée selon deux approches : - démarche proactive : avoir une conduite générale de protection et de lorganisation de la défense ; - démarche réactive : l élaboration de plans de réaction. La sécurité informatique s inscrit dans une démarche d intelligence économique afin de maîtriser des risques technologiques, opérationnels et informationnels. Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 112

3 1. Connaitre les risques pour les maîtriser Objectifs de la sécurité : Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 113 Incident Défense Mesures réactives - Limiter les atteintes et les dysfonctionnements - Retour à un état normal Protection Mesures proactives - Diminuer la probabilité de la survenue des menaces INTELLIGENCE ÉCONOMIQUE

4 1. Connaitre les risques pour les maîtriser une démarche sécuritaire est constitué de trois phases principales. Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 114 Stratégie dentreprise Stratégie de sécurité Valeurs/Analyse des risques Risque opérationnel Risque informatique Risque informationnel Risque technologique Risque financier Risque dimage Risque de réputation Risque résiduel … Politique de sécurité Évaluation Optimisation Mesures de sécurité Outils Procédures ANALYSE MISE EN OEUVRE CONTRÔLE ET SUIVI

5 1. Connaitre les risques pour les maîtriser 1) Première phase : la première phase (1) consiste à connaitre les valeurs de lorganisation, leur degré de vulnérabilité en fonction de menaces et le risque de perte totales ou partielle de ces valeurs. Ainsi, une vision de ce qui doit être protégé formulée. Il sagit d élaborer une véritable stratégie de protection et de gestion de la sécurité en fonction des besoins de sécurité des valeurs et menaces identifiées qu encoure lorganisation. La pertinence de lanalyse des risques dépendra de lidentification exacte des moyens et des mesures à mettre en ouvre pour sécuriser efficacement les ressources de lorganisation. Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 115

6 1. Connaitre les risques pour les maîtriser 2) Deuxième phase : La phase suivante (2) consiste à choisir et à mettre en place les outils, mesures et procédures nécessaires à la gestion des risques et à la sécurité des systèmes, services et données. L optimisation de la démarche sécuritaire passe par l élaboration de : - la politique de sécurité pour répondre aux exigences de maitrise des risques; - la pertinence de la stratégie envers les risques encourus; - ladaptation des solutions de sécurité aux besoins en fonction des moyens financiers dégagés; - ladéquation de mesures les unes par rapport aux autres. 3) Troisième phase : une évaluation périodique (phase 3) voir continue des mesures de sécurité en vue de leur rationalisation et optimisation, vise à réponde le mieux possible à l évolution de l environnement dans lequel elles sinscrivent. Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 116

7 1. Connaitre les risques pour les maîtriser Implémenter une stratégie de sécurité consiste à faire le compromis les plus judicieux possible entre : - le coût des mesures de sécurité à supporter pour éviter les risques qui pourraient affecter le patrimoine dune entreprise, - et le coût des impacts de ces risques sil ny avait pas de mesures. Pour définir une stratégie, il nexiste pas de stratégie recette. Chaque organisation a son propre stratégie : contexte denvironnement informationnel, de scenario de risque, etc. Il existe des invariants méthodologique qui simplifient l appréhension dune démarche sécuritaire. Exemple : Une organisation peut annuler la mise en œuvre d un dispositif de secours (backup) de son centre informatique au regard de son coût si ce coût peut savérer très élevé en termes de ressources à utiliser. Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 117

8 1. Connaitre les risques pour les maîtriser Risques et plan daction sécurité: Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 118 Analyse de risque Évaluation Contrôle Validation Optimisation Politique de sécurité Pilotage Moyens financiers, organisationnels, humains, technologique, Mise en œuvre opérationnelle de mesures efficaces de sécurité Maîtrise de risques Identification des valeurs Analyse des menaces Identification des impacts

9 2. Vision stratégique de la sécurité 1) Fondamentaux Il faut que les solutions de sécurité informatique assurent tout ou une partie des propriétés suivantes: - La disponibilité (aucun retard) : permet laccessibilité en continu sans dégradation, ni interruption; - L intégrité (aucune falsification) : maintient intégralement les données et les programmes sans altération; - La confidentialité (aucune écoute illicite) : permet de maintenir le secret de linformation et assure l accès aux seules entités autorisées (intimité numerique); - La pérennité (aucune destruction) : les logiciels et les données sont stockés, ils sont conservés le temps nécessaire; -La non-répudiation et limputabilité (aucune contestation) : garantit la connaissance de lorigine et de la destination d une action ainsi que l identification des entités responsables; - Le respect des contraintes règlementaires ou légales (aucun risque juridique); - Lauthentification (pas de doute sur lidentité d une ressource) Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 119

10 2. Vision stratégique de la sécurité Identifier les valeurs d une organisation et exprimer leur besoins en termes de critère de sécurité permet de fixer la mesure de sécurité à mettre en œuvre au travers : - doutils (firewalls, antivirus, protocoles cryptographiques, …) - de procédures (mots de passe, mises à jour d antivirus, mises à jour d un système dexploitation, …); - de personnes (utilisateurs, administrateurs,…) Les mesures de sécurité sont identifiées, gérées et optimisées par des procédures de gestion. Au delà de la nécessaire dimension d ingénierie de la sécurité, la sécurité relève avant tout dun acte de management. Note : réduire seulement la sécurité à sa dimension technologique, cest assurer son échec! Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 120

11 2. Vision stratégique de la sécurité 2) Mission de sécurité Entamer une mission se sécurité peuvent se décliner de la manière suivante : - concevoir un plan d action de sécurité après une analyse préalable des risques; - identifier une politique de sécurité; - faire un arbitrage entre les besoins de sécurité, risques et coûts; - déterminer le périmètre de vulnérabilité lié à l usage des nouvelles technologies; - offrir de manière dynamique un niveau de protection adapté aux risques encourus; - mettre en pratique et valider les mesures, les outils et les procédures de sécurité; - faire un suivi, contrôler et faire évoluer les mesures et plan d action de sécurité; - enfin, optimiser la performance du système d information en fonction du degré de sécurité requis. Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 121

12 2. Vision stratégique de la sécurité 3) Principes de base L élaboration dune démarche sécurité repose sur des principes suivants: - Principe de vocabulaire - nécessité de sadapter, au niveau de l organisation, sur un langage commun de définition de la sécurité. - Principe de volonté directoriale - les dirigeants sont responsabilité de libérer les moyens nécessaires à la mise en œuvre (et à la gestion) de la sécurité informatique. - Principe financier - le budget d implémenter la sécurité doit être adapté vis-à- vis des objectifs de sécurité fixés. - Principe de cohérence - la sécurité dun système est le résultat d une intégration harmonieuse des mécanismes, outils et procédures. - Principe de simplicité et d universalité - les mesures doivent être compréhensibles, simples par les utilisateurs. - Principe de dynamicité - la sécurité doit être élaborée dynamiquement pour intégrer la dimension temporelle de la vie des systèmes et l évolution des besoins et des risques. Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 122

13 2. Vision stratégique de la sécurité -Principe de continuum - lorganisation doit continuer à fonctionner même après la survenue d incident (procédures de gestion de crise). - Principe d évaluation, de contrôle et d adaptation - Il est très important de pouvoir évaluer durablement l adéquation des mesures de sécurité. Cela permet de vérifier et de contrôler que les risques sont maitrisés et dadapter dans le besoin les solutions de sécurité. 4) Conditions de succès Les conditions de succès dune approche sécuritaire sont : - une démarche stratégique de la sécurité - la politique de la sécurité doit être publiée - un certain degré de confiance envers les personnes, systèmes, outils impliqués; - une éthique des acteurs - des procédures de surveillance, d enregistrement et daudit; - le respect des contraintes légales et juridique - … Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 123

14 2. Vision stratégique de la sécurité 5) Approche pragmatique Axes stratégiques, tactiques et opérationnels de la sécurité : Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 124 Axe stratégique Axe tactique Axe opérationnel Long terme Moyen terme Politique de sécurité court terme Mise en œuvre opérationnelle des mesures Exploitation/Maintenance / Suivi Identification des mesures de sécurité Optimisation

15 2. Vision stratégique de la sécurité 6) Bénéfices La sécurité est à énumérer comme un facteur critique de succès d une organisation et non pas comme une source de coût (charge) ni un frein à la réalisation de la stratégie de lentreprise. La sécurité nest pas une contrainte additionnelle à intégrer dans la stratégie des entreprises mais constitue un outil de production (faisant partie des éléments fondamentaux de la stratégie de lentreprise). Comme la qualité, la sécurité est considérée pour une entreprise, un facteur de compétitivité assurant à une meilleur rentabilité. Considérant la sécurité comme un facteur de qualité, elle pose le problème de sa mesure et donc de la détermination des indicateurs et métriques associés. Note : la sécurité ne permet pas directement de gagner de l argent mais évite den perdre. Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 125

16 2. Vision stratégique de la sécurité 7) Aspects économique Les coûts suivant contribue à estimer de manière approximative le retour sur investissement de la sécurité: - Perte ou baisses de productivité consécutives aux problèmes de dysfonctionnements et à lindisponibilité, perte de parts de marché, pénalités de retard, etc. - Coût généré par des pertes dimage, impacts au niveau des clients, partenaires, sous-traitants, fournisseurs, etc. - Coûts dassurance, de gestion, d investigation, salaires des experts, etc. - Coûts de reprise après incidents, de la gestion de crise, de restitution, de reconstitution des données, de remise en état, de remplacement des systèmes, etc. Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 126

17 3. Définir une stratégie de sécurité 1) Stratégie générale La diversité des solutions peuvent créer un problème de cohérence globale de la démarche de sécurité. Exemple 1 : La technologie ne suffit pas mais elle doit être intégré dans une démarche de gestion de sécurité. Exemple 2 : La sécurité d un système particulier nest que une composante de la sécurité globale d une entreprise. Beaucoup de stratégies de sécurité existent, de politiques de sécurité, de mesures, de procédures ou de solutions de sécurité que dorganisations et de besoins sécuritaires à satisfaire à un moment donné. Politique de sécurité et risques font lobjet d une actualisation et d une évaluation permanentes. Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 127

18 3. Définir une stratégie de sécurité De la stratégie d entreprise à la stratégie sécuritaire: ICT (Information and Communication Technologies) : Technologies de l'information et de la communication. Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 128 Stratégie dentreprise Stratégie de sécurité Politique de sécuritéMesures de sécurité Sécurité informatique : Technologiques Procédures Organisationnelles Juridiques Humaine Services ICT de qualité répondant à la stratégie de lentreprise

19 3. Définir une stratégie de sécurité 2) Compromis et bon sens La sécurité : une question de compromis Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 129 Politique de sécurité Besoin de protection Besoin de production Maitrise des risques Réduire les risques à un niveau acceptable Minimiser les pertes Permettre un usage efficace des technologies Risques Coût du risque Coût de la maîtrise des risques

20 3. Définir une stratégie de sécurité La sécurité : une question de bon sens Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 130 Une question de bon sens Trop de sécurité est aussi problématique que pas assez Une politique de sécurité ne doit pas être conçue à partir de limitations particulières de certains systèmes Le plus dur nest pas de décider quelle est la technologie de sécurité à appliquer mais d identifier pourquoi on doit lappliquer et sur quoi La sécurité nest jamais acquise définitivement, elle se vit au quotidien La sécurité doit être fonction des risques et proportionnelle aux enjeux Plus grande est la récompense, plus grand est le risque de pénétration d un système La qualité des outils de sécurité dépend de la politique de sécurité quils servent La sécurité est l affaire de tous

21 3. Définir une stratégie de sécurité 3) Responsabilité Les responsable de la sécurité des systèmes dinformation sont des prestataires de services pour la partie de la sécurité qui ils gèrent et contrôlent. Leur accès aux ressources informatiques implique en plus dune intégrité sans faille, des procédures de surveillance et de contrôle de leurs actions particulièrement strictes, à la mesure des risques quils font potentiellement courir aux systèmes quils gèrent. L augmentation des affaires criminelles ayant une origine interne, impliquant la complicité dinformaticiens, doit obliger les organisation à traiter la question de responsabilité avec vigilance et à ne pas se laisser piéger par des personnes peu scrupuleuses. Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 131

22 3. Définir une stratégie de sécurité 3) Nouveaux risques, nouveaux métiers Métiers concernant la sécurité : - Chief Security Officer (CSO) - Il sagit de la personne responsable de toute la sécurité de lorganisation. - Chief Information Securitty Officer (CISO) - La personne assumant la responsabilité de la sécurité des informations au sein dune organisation. Diverses fonctions ou missions spécifique existent comme par exemple: - Responsable de la sécurité des systèmes dinformation; - Responsable de la sécurité des réseaux; - Responsable de la sécurité des systèmes; - Responsable de la veille technologique en matière de sécurité; - Auditeur de la sécurité; - Architecte de la sécurité - … Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 132

23 4. Prise en compte des besoins juridiques 1) Sécurité et répression du crime informatique Actuellement, la cybercriminalité est mal maitrisée comme le prouvent les chiffres du sondage annuel du CSI (Computer Security Institut) ou les statistiques du CERT (Computer Emergency Readiness Team). Les motifs de tel situation sont notamment liées: - Aux caractéristiques du cybercrime (capacité à être automatisé, savoir-faire embarqué dans le logiciel, réalisation à distance); - À la pénurie de ressources humaines et matérielles au sein des services chargés de la répression des délits informatiques; - À la difficulté à qualifier les faits au regard de certaines législations pénales; - … Note: CSI (www.gocsi.com) CERT(www.us-cert.gov) Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 133

24 4. Prise en compte des besoins juridiques 2) Infraction, responsabilité et obligations de moyens Crimes et délits contres les personnes: Atteintes à la personnalité - atteinte à la vie privée - atteinte à la représentation dune personne-atteinte au secret professionnel - atteinte aux mineurs- harcèlement… Crimes et délit contre les biens: Escroquerie - fraude - crime économique et financier - vol - modification, destruction de ressources - chantage - piratage des systèmes… Provocation aux crimes et délits: Apologie des crimes contre lhumanité – apologie et provocation au terrorisme – provocation à la haine raciale – négationnisme … Infraction à diverse règlementation (code civil, code des obligations, code pénal, code de la propriété intellectuelle, droit de l audiovisuel, des contrats,…): Contrefaçon dune œuvre de lesprit (logiciel), dune image, dessin - contrefaçon de marque - téléchargement illégale - participation à la tenue dune maison de jeux au hasard (cybercasino) - infraction de presse… Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 134

25 4. Prise en compte des besoins juridiques 3) Prendre en compte la sécurité en regard de la législation Il est très important que les responsable de sécurité des organisations soient sensibilisées aux contraintes dune enquête policière (documentation minimale relative à lincident, conservation des traces, etc.). Lorganisation doit être prudente au respect de la protection des données à caractère personnel de ses employés comme celles des ses clients, fournisseurs ou partenaires. Dans la majorité des pays, la législation recommande que la mise en œuvre de la cybersurveillance soit préalablement accompagnée dune charte dutilisation de linformatique et des télécommunications. Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 135

26 4. Prise en compte des besoins juridiques 4) La confiance passe par le droit, la conformité et la sécurité Lintelligence est devenu un facteur clé de succès de la réalisation de la sécurité informatique. Exemple : la responsabilité pénale des acteurs (comme le responsable sécurité ou du directeur de systèmes dinformation) est de plus en plus invoquée si les ressources informatiques qu ils gèrent, sont lobjet ou le moyen dune délit. Les responsables d organisations doivent être extrêmement attentif à l égard du droit de nouvelles technologies et leur système informatique doit être en conformité juridique. Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 136

27 4. Prise en compte des besoins juridiques 5) Règlementation international La première règlementation internationale (et la seule), contribuant à donner la dimension internationale de la cybercriminalité est la convention sur la cybercriminalité-Budapest 23 novembre Exemple de point abordé : les états doivent établir leur compétences à l égard de toute infraction pénale lorsque cette dernière est commise sur son territoire. Il y a aussi des lignes directives de lOCDE (Organisation de Coopération et de Développement Economique). Voila deux exemples de points évoqués: Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 137 Démocratie La sécurité des systèmes et des réseaux dinformation doit être compatible avec les valeurs fondamentales dune société démocratique. Conception et mise en œuvre de la sécurité Les parties prenantes doivent intégrer la sécurité en tant quun élément essentiel des systèmes et réseaux dinformation.

28 5. Sécurité et société de l information 1) Pour une société de linformation sûre L état a des responsabilités importantes pour la réalisation dune sécurité numérique: - Il doit définir les lois; - Il doit favoriser et encourager la recherche et le développement en matière de sécurité; - Il doit promouvoir une culture de la sécurité et du respect de lintimité numérique; - Il doit imposer le respect dun minimum de normes de sécurité. 2) Respect des valeurs démocratiques Replacer l être humain et les principes démocratiques dans les technologies de linformation (et dans les solutions de sécurité) est nécessaire pour donner les moyens aux internautes de devenir des cybercitoyens avertis, et non pas des consommateurs vulnérables et dépendants. Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 138

29 Exercice 21 : Que recouvre la notion de stratégie de sécurité? Exercice 22 : Pourquoi la sécurité doit-elle gérée selon un processus continu? Exercice 23 : Dans quelles mesures la sécurité informatiques est - elle résultante dun compromis? Exercice 24 : Dans quelle mesure la conformité réglementaire se décline-t-elle comme un besoin de sécurité? Exercice 25 : Pourquoi la compréhension du risque juridique par des responsables de la sécurité informatique est importante? Chapitre 4 : Stratégie de sécurité Mounir GRARI Sécurité informatique 139


Télécharger ppt "Plan Connaitre les risques pour les maîtriser Vision stratégique de la sécurité Définir une stratégie de sécurité Prise en compte des besoins juridiques."

Présentations similaires


Annonces Google