La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Chapitre 4 : Stratégie de sécurité

Présentations similaires


Présentation au sujet: "Chapitre 4 : Stratégie de sécurité"— Transcription de la présentation:

1 Chapitre 4 : Stratégie de sécurité
Plan Chapitre 4 : Stratégie de sécurité Connaitre les risques pour les maîtriser Vision stratégique de la sécurité Définir une stratégie de sécurité Prise en compte des besoins juridiques Sécurité et société de l’ information Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Mounir GRARI Sécurité informatique

2 1. Connaitre les risques pour les maîtriser
Chapitre 4 : Stratégie de sécurité Pour une entreprise, l’objectif de la sécurité informatique est de garantir qu’aucune perte ne puisse mettre en danger son développement. Exemple : Il faut réduire la probabilité de voir des risques se concrétiser, à diminuer les atteintes ou dysfonctionnements, et permettre le retour à un fonctionnement normal à des coûts et des délais acceptables en cas d’ incident. Une stratégie de sécurité est élaborée selon deux approches : - démarche proactive : avoir une conduite générale de protection et de l’organisation de la défense ; - démarche réactive : l’ élaboration de plans de réaction. La sécurité informatique s’ inscrit dans une démarche d’ intelligence économique afin de maîtriser des risques technologiques, opérationnels et informationnels. Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Mounir GRARI Sécurité informatique

3 1. Connaitre les risques pour les maîtriser
Chapitre 4 : Stratégie de sécurité Objectifs de la sécurité : Incident Protection Mesures proactives Défense Mesures réactives - Diminuer la probabilité de la survenue des menaces - Limiter les atteintes et les dysfonctionnements - Retour à un état normal 1) l’ordinateur est partout. INTELLIGENCE ÉCONOMIQUE Mounir GRARI Sécurité informatique

4 1. Connaitre les risques pour les maîtriser
Chapitre 4 : Stratégie de sécurité une démarche sécuritaire est constitué de trois phases principales. Stratégie d’entreprise Valeurs/Analyse des risques Risque opérationnel Risque informatique Risque informationnel Risque technologique Risque financier Risque d’image Risque de réputation Risque résiduel Stratégie de sécurité 1 Politique de sécurité ANALYSE Mesures de sécurité Outils Procédures 2 1) l’ordinateur est partout. MISE EN OEUVRE 3 Évaluation Optimisation CONTRÔLE ET SUIVI Mounir GRARI Sécurité informatique

5 1. Connaitre les risques pour les maîtriser
Chapitre 4 : Stratégie de sécurité 1) Première phase : la première phase (1) consiste à connaitre les valeurs de l’organisation, leur degré de vulnérabilité en fonction de menaces et le risque de perte totales ou partielle de ces valeurs. Ainsi, une vision de ce qui doit être protégé formulée. Il s’agit d’ élaborer une véritable stratégie de protection et de gestion de la sécurité en fonction des besoins de sécurité des valeurs et menaces identifiées qu’ encoure l’organisation. La pertinence de l’analyse des risques dépendra de l’identification exacte des moyens et des mesures à mettre en ouvre pour sécuriser efficacement les ressources de l’organisation. 1) l’ordinateur est partout. Mounir GRARI Sécurité informatique

6 1. Connaitre les risques pour les maîtriser
Chapitre 4 : Stratégie de sécurité 2) Deuxième phase : La phase suivante (2) consiste à choisir et à mettre en place les outils, mesures et procédures nécessaires à la gestion des risques et à la sécurité des systèmes, services et données. L’ optimisation de la démarche sécuritaire passe par l’ élaboration de : - la politique de sécurité pour répondre aux exigences de maitrise des risques; - la pertinence de la stratégie envers les risques encourus; - l’adaptation des solutions de sécurité aux besoins en fonction des moyens financiers dégagés; - l’adéquation de mesures les unes par rapport aux autres. 3) Troisième phase : une évaluation périodique (phase 3) voir continue des mesures de sécurité en vue de leur rationalisation et optimisation, vise à réponde le mieux possible à l’ évolution de l’ environnement dans lequel elles s’inscrivent. 1) l’ordinateur est partout. Mounir GRARI Sécurité informatique

7 1. Connaitre les risques pour les maîtriser
Chapitre 4 : Stratégie de sécurité Implémenter une stratégie de sécurité consiste à faire le compromis les plus judicieux possible entre : - le coût des mesures de sécurité à supporter pour éviter les risques qui pourraient affecter le patrimoine d’une entreprise, - et le coût des impacts de ces risques s’il n’y avait pas de mesures. Pour définir une stratégie, il n’existe pas de stratégie “recette”. Chaque organisation a son propre stratégie : contexte d’environnement informationnel, de scenario de risque, etc. Il existe des invariants méthodologique qui simplifient l’ appréhension d’une démarche sécuritaire. Exemple : Une organisation peut annuler la mise en œuvre d’ un dispositif de secours (backup) de son centre informatique au regard de son coût si ce coût peut s’avérer très élevé en termes de ressources à utiliser . 1) l’ordinateur est partout. Mounir GRARI Sécurité informatique

8 1. Connaitre les risques pour les maîtriser
Chapitre 4 : Stratégie de sécurité Risques et plan d’action sécurité: Analyse de risque Évaluation Contrôle Validation Optimisation Identification des valeurs Analyse des menaces Identification des impacts Politique de sécurité Pilotage Moyens financiers, organisationnels, humains, technologique, Mise en œuvre opérationnelle de mesures efficaces de sécurité 1) l’ordinateur est partout. Maîtrise de risques Mounir GRARI Sécurité informatique

9 2. Vision stratégique de la sécurité
Chapitre 4 : Stratégie de sécurité 1) Fondamentaux Il faut que les solutions de sécurité informatique assurent tout ou une partie des propriétés suivantes: - La disponibilité (aucun retard) : permet l’accessibilité en continu sans dégradation, ni interruption; - L’ intégrité (aucune falsification) : maintient intégralement les données et les programmes sans altération; - La confidentialité (aucune écoute illicite) : permet de maintenir le secret de l’information et assure l’ accès aux seules entités autorisées (intimité numerique); - La pérennité (aucune destruction) : les logiciels et les données sont stockés, ils sont conservés le temps nécessaire; La non-répudiation et l’imputabilité (aucune contestation) : garantit la connaissance de l’origine et de la destination d’ une action ainsi que l’ identification des entités responsables; - Le respect des contraintes règlementaires ou légales (aucun risque juridique); - L’authentification (pas de doute sur l’identité d’ une ressource) 1) l’ordinateur est partout. Mounir GRARI Sécurité informatique

10 2. Vision stratégique de la sécurité
Chapitre 4 : Stratégie de sécurité Identifier les valeurs d’ une organisation et exprimer leur besoins en termes de critère de sécurité permet de fixer la mesure de sécurité à mettre en œuvre au travers : - d’outils (firewalls, antivirus, protocoles cryptographiques, …) - de procédures (mots de passe , mises à jour d’ antivirus, mises à jour d’ un système d’exploitation, …); - de personnes (utilisateurs, administrateurs,…) Les mesures de sécurité sont identifiées, gérées et optimisées par des procédures de gestion. Au delà de la nécessaire dimension d’ ingénierie de la sécurité, la sécurité relève avant tout d’un acte de management. Note : réduire seulement la sécurité à sa dimension technologique, c’est assurer son échec! 1) l’ordinateur est partout. Mounir GRARI Sécurité informatique

11 2. Vision stratégique de la sécurité
Chapitre 4 : Stratégie de sécurité 2) Mission de sécurité Entamer une mission se sécurité peuvent se décliner de la manière suivante : - concevoir un plan d’ action de sécurité après une analyse préalable des risques; - identifier une politique de sécurité; - faire un arbitrage entre les besoins de sécurité, risques et coûts; - déterminer le périmètre de vulnérabilité lié à l’ usage des nouvelles technologies; - offrir de manière dynamique un niveau de protection adapté aux risques encourus; - mettre en pratique et valider les mesures, les outils et les procédures de sécurité; - faire un suivi, contrôler et faire évoluer les mesures et plan d’ action de sécurité; - enfin, optimiser la performance du système d’ information en fonction du degré de sécurité requis. 1) l’ordinateur est partout. Mounir GRARI Sécurité informatique

12 2. Vision stratégique de la sécurité
Chapitre 4 : Stratégie de sécurité 3) Principes de base L’ élaboration d’une démarche sécurité repose sur des principes suivants: - Principe de vocabulaire - nécessité de s’adapter, au niveau de l’ organisation, sur un langage commun de définition de la sécurité. - Principe de volonté directoriale - les dirigeants sont responsabilité de libérer les moyens nécessaires à la mise en œuvre (et à la gestion) de la sécurité informatique. - Principe financier - le budget d’ implémenter la sécurité doit être adapté vis-à-vis des objectifs de sécurité fixés. - Principe de cohérence - la sécurité d’un système est le résultat d’ une intégration harmonieuse des mécanismes, outils et procédures. - Principe de simplicité et d’ universalité - les mesures doivent être compréhensibles, simples par les utilisateurs. - Principe de dynamicité - la sécurité doit être élaborée dynamiquement pour intégrer la dimension temporelle de la vie des systèmes et l’ évolution des besoins et des risques. 1) l’ordinateur est partout. Mounir GRARI Sécurité informatique

13 2. Vision stratégique de la sécurité
Chapitre 4 : Stratégie de sécurité -Principe de continuum - l’organisation doit continuer à fonctionner même après la survenue d’ incident (procédures de gestion de crise). - Principe d’ évaluation, de contrôle et d’ adaptation - Il est très important de pouvoir évaluer durablement l’ adéquation des mesures de sécurité. Cela permet de vérifier et de contrôler que les risques sont maitrisés et d’adapter dans le besoin les solutions de sécurité. 4) Conditions de succès Les conditions de succès d’une approche sécuritaire sont : - une démarche stratégique de la sécurité - la politique de la sécurité doit être publiée - un certain degré de confiance envers les personnes, systèmes, outils impliqués; - une éthique des acteurs - des procédures de surveillance, d’ enregistrement et d’audit; - le respect des contraintes légales et juridique - … 1) l’ordinateur est partout. Mounir GRARI Sécurité informatique

14 2. Vision stratégique de la sécurité
Chapitre 4 : Stratégie de sécurité 5) Approche pragmatique Axes stratégiques, tactiques et opérationnels de la sécurité : Long terme Moyen terme Optimisation Identification des mesures de sécurité Politique de sécurité Optimisation Mise en œuvre opérationnelle des mesures Exploitation/Maintenance / Suivi Axe tactique Axe stratégique 1) l’ordinateur est partout. Axe opérationnel court terme Mounir GRARI Sécurité informatique

15 2. Vision stratégique de la sécurité
Chapitre 4 : Stratégie de sécurité 6) Bénéfices La sécurité est à énumérer comme un facteur critique de succès d’ une organisation et non pas comme une source de coût (charge) ni un frein à la réalisation de la stratégie de l’entreprise. La sécurité n’est pas une contrainte additionnelle à intégrer dans la stratégie des entreprises mais constitue un outil de production (faisant partie des éléments fondamentaux de la stratégie de l’entreprise). Comme la qualité, la sécurité est considérée pour une entreprise, un facteur de compétitivité assurant à une meilleur rentabilité. Considérant la sécurité comme un facteur de qualité, elle pose le problème de sa mesure et donc de la détermination des indicateurs et métriques associés. Note : la sécurité ne permet pas directement de gagner de l’ argent mais évite d’en perdre. 1) l’ordinateur est partout. Mounir GRARI Sécurité informatique

16 2. Vision stratégique de la sécurité
Chapitre 4 : Stratégie de sécurité 7) Aspects économique Les coûts suivant contribue à estimer de manière approximative le retour sur investissement de la sécurité: - Perte ou baisses de productivité consécutives aux problèmes de dysfonctionnements et à l’indisponibilité, perte de parts de marché , pénalités de retard, etc. - Coût généré par des pertes d’image, impacts au niveau des clients, partenaires, sous-traitants, fournisseurs, etc. - Coûts d’assurance, de gestion, d’ investigation, salaires des experts, etc. - Coûts de reprise après incidents, de la gestion de crise, de restitution, de reconstitution des données, de remise en état, de remplacement des systèmes, etc. 1) l’ordinateur est partout. Mounir GRARI Sécurité informatique

17 3. Définir une stratégie de sécurité
Chapitre 4 : Stratégie de sécurité 1) Stratégie générale La diversité des solutions peuvent créer un problème de cohérence globale de la démarche de sécurité. Exemple 1 : La technologie ne suffit pas mais elle doit être intégré dans une démarche de gestion de sécurité. Exemple 2 : La sécurité d’ un système particulier n’est que une composante de la sécurité globale d’ une entreprise. Beaucoup de stratégies de sécurité existent, de politiques de sécurité, de mesures, de procédures ou de solutions de sécurité que d’organisations et de besoins sécuritaires à satisfaire à un moment donné. Politique de sécurité et risques font l’objet d’ une actualisation et d’ une évaluation permanentes. 1) l’ordinateur est partout. Mounir GRARI Sécurité informatique

18 3. Définir une stratégie de sécurité
Chapitre 4 : Stratégie de sécurité De la stratégie d’ entreprise à la stratégie sécuritaire: ICT (Information and Communication Technologies) : Technologies de l'information et de la communication. Stratégie d’entreprise Services ICT de qualité répondant à la stratégie de l’entreprise Sécurité informatique : Technologiques Procédures Organisationnelles Juridiques Humaine Stratégie de sécurité 1) l’ordinateur est partout. Politique de sécurité Mesures de sécurité Mounir GRARI Sécurité informatique

19 3. Définir une stratégie de sécurité
Chapitre 4 : Stratégie de sécurité 2) Compromis et bon sens La sécurité : une question de compromis Coût de la maîtrise des risques Coût du risque Besoin de protection Besoin de production Réduire les risques à un niveau acceptable Minimiser les pertes Permettre un usage efficace des technologies Risques Maitrise des risques 1) l’ordinateur est partout. Politique de sécurité Mounir GRARI Sécurité informatique

20 3. Définir une stratégie de sécurité
Chapitre 4 : Stratégie de sécurité La sécurité : une question de bon sens La sécurité doit être fonction des risques et proportionnelle aux enjeux Plus grande est la récompense, plus grand est le risque de pénétration d’ un système La sécurité n’est jamais acquise définitivement, elle se vit au quotidien La qualité des outils de sécurité dépend de la politique de sécurité qu’ils servent Une question de bon sens La sécurité est l’ affaire de tous Une politique de sécurité ne doit pas être conçue à partir de limitations particulières de certains systèmes 1) l’ordinateur est partout. Le plus dur n’est pas de décider quelle est la technologie de sécurité à appliquer mais d’ identifier pourquoi on doit l’appliquer et sur quoi Trop de sécurité est aussi problématique que pas assez Mounir GRARI Sécurité informatique

21 3. Définir une stratégie de sécurité
Chapitre 4 : Stratégie de sécurité 3) Responsabilité Les responsable de la sécurité des systèmes d’information sont des prestataires de services pour la partie de la sécurité qui ils gèrent et contrôlent. Leur accès aux ressources informatiques implique en plus d’une intégrité sans faille, des procédures de surveillance et de contrôle de leurs actions particulièrement strictes, à la mesure des risques qu’ils font potentiellement courir aux systèmes qu’ils gèrent. L’ augmentation des affaires criminelles ayant une origine interne, impliquant la complicité d’informaticiens, doit obliger les organisation à traiter la question de responsabilité avec vigilance et à ne pas se laisser piéger par des personnes peu scrupuleuses. 1) l’ordinateur est partout. Mounir GRARI Sécurité informatique

22 3. Définir une stratégie de sécurité
Chapitre 4 : Stratégie de sécurité 3) Nouveaux risques, nouveaux métiers Métiers concernant la sécurité : - Chief Security Officer (CSO) - Il s’agit de la personne responsable de toute la sécurité de l’organisation. - Chief Information Securitty Officer (CISO) - La personne assumant la responsabilité de la sécurité des informations au sein d’une organisation. Diverses fonctions ou missions spécifique existent comme par exemple: - Responsable de la sécurité des systèmes d’information; - Responsable de la sécurité des réseaux; - Responsable de la sécurité des systèmes; - Responsable de la veille technologique en matière de sécurité; - Auditeur de la sécurité; - Architecte de la sécurité - … 1) l’ordinateur est partout. Mounir GRARI Sécurité informatique

23 4. Prise en compte des besoins juridiques
Chapitre 4 : Stratégie de sécurité 1) Sécurité et répression du crime informatique Actuellement, la cybercriminalité est mal maitrisée comme le prouvent les chiffres du sondage annuel du CSI (Computer Security Institut) ou les statistiques du CERT (Computer Emergency Readiness Team). Les motifs de tel situation sont notamment liées: - Aux caractéristiques du cybercrime (capacité à être automatisé, savoir-faire embarqué dans le logiciel , réalisation à distance); - À la pénurie de ressources humaines et matérielles au sein des services chargés de la répression des délits informatiques; - À la difficulté à qualifier les faits au regard de certaines législations pénales; - … Note: CSI (www.gocsi.com) CERT(www.us-cert.gov) 1) l’ordinateur est partout. Mounir GRARI Sécurité informatique

24 4. Prise en compte des besoins juridiques
Chapitre 4 : Stratégie de sécurité 2) Infraction, responsabilité et obligations de moyens Crimes et délits contres les personnes: Atteintes à la personnalité - atteinte à la vie privée - atteinte à la représentation d’une personne-atteinte au secret professionnel - atteinte aux mineurs- harcèlement… Crimes et délit contre les biens: Escroquerie - fraude - crime économique et financier - vol - modification, destruction de ressources - chantage - piratage des systèmes… Provocation aux crimes et délits: Apologie des crimes contre l’humanité – apologie et provocation au terrorisme – provocation à la haine raciale – négationnisme … Infraction à diverse règlementation (code civil, code des obligations, code pénal, code de la propriété intellectuelle, droit de l’ audiovisuel, des contrats,…): Contrefaçon d’une œuvre de l’esprit (logiciel), d’une image, dessin - contrefaçon de marque - téléchargement illégale - participation à la tenue d’une maison de jeux au hasard (cybercasino) - infraction de presse… 1) l’ordinateur est partout. Mounir GRARI Sécurité informatique

25 4. Prise en compte des besoins juridiques
Chapitre 4 : Stratégie de sécurité 3) Prendre en compte la sécurité en regard de la législation Il est très important que les responsable de sécurité des organisations soient sensibilisées aux contraintes d’une enquête policière (documentation minimale relative à l’incident, conservation des traces, etc.). L’organisation doit être prudente au respect de la protection des données à caractère personnel de ses employés comme celles des ses clients, fournisseurs ou partenaires. Dans la majorité des pays, la législation recommande que la mise en œuvre de la cybersurveillance soit préalablement accompagnée d’une charte d’utilisation de l’informatique et des télécommunications. 1) l’ordinateur est partout. Mounir GRARI Sécurité informatique

26 4. Prise en compte des besoins juridiques
Chapitre 4 : Stratégie de sécurité 4) La confiance passe par le droit, la conformité et la sécurité L’intelligence est devenu un facteur clé de succès de la réalisation de la sécurité informatique. Exemple : la responsabilité pénale des acteurs (comme le responsable sécurité ou du directeur de systèmes d’information) est de plus en plus invoquée si les ressources informatiques qu’ ils gèrent, sont l’objet ou le moyen d’une délit. Les responsables d’ organisations doivent être extrêmement attentif à l’ égard du droit de nouvelles technologies et leur système informatique doit être en conformité juridique. 1) l’ordinateur est partout. Mounir GRARI Sécurité informatique

27 4. Prise en compte des besoins juridiques
Chapitre 4 : Stratégie de sécurité 5) Règlementation international La première règlementation internationale (et la seule), contribuant à donner la dimension internationale de la cybercriminalité est la convention sur la cybercriminalité-Budapest 23 novembre 2001. Exemple de point abordé : les états doivent établir leur compétences à l’ égard de toute infraction pénale lorsque cette dernière est commise sur son territoire. Il y a aussi des lignes directives de l’OCDE (Organisation de Coopération et de Développement Economique). Voila deux exemples de points évoqués: Démocratie La sécurité des systèmes et des réseaux d’information doit être compatible avec les valeurs fondamentales d’une société démocratique. Conception et mise en œuvre de la sécurité Les parties prenantes doivent intégrer la sécurité en tant qu’un élément essentiel des systèmes et réseaux d’information. 1) l’ordinateur est partout. Mounir GRARI Sécurité informatique

28 5. Sécurité et société de l’ information
Chapitre 4 : Stratégie de sécurité 1) Pour une société de l’information sûre L’ état a des responsabilités importantes pour la réalisation d’une sécurité numérique: - Il doit définir les lois; - Il doit favoriser et encourager la recherche et le développement en matière de sécurité; - Il doit promouvoir une culture de la sécurité et du respect de l’intimité numérique; - Il doit imposer le respect d’un minimum de normes de sécurité. 2) Respect des valeurs démocratiques Replacer l’ être humain et les principes démocratiques dans les technologies de l’information (et dans les solutions de sécurité) est nécessaire pour donner les moyens aux internautes de devenir des cybercitoyens avertis, et non pas des consommateurs vulnérables et dépendants. 1) l’ordinateur est partout. Mounir GRARI Sécurité informatique

29 Chapitre 4 : Stratégie de sécurité
Exercice 21 : Que recouvre la notion de stratégie de sécurité? Exercice 22 : Pourquoi la sécurité doit-elle gérée selon un processus continu? Exercice 23 : Dans quelles mesures la sécurité informatiques est - elle résultante d’un compromis? Exercice 24 : Dans quelle mesure la conformité réglementaire se décline-t-elle comme un besoin de sécurité? Exercice 25 : Pourquoi la compréhension du risque juridique par des responsables de la sécurité informatique est importante? 1) l’ordinateur est partout. Mounir GRARI Sécurité informatique


Télécharger ppt "Chapitre 4 : Stratégie de sécurité"

Présentations similaires


Annonces Google