Chapitre 5 : Gouvernance et politique de sécurité

Présentation au sujet: "Chapitre 5 : Gouvernance et politique de sécurité"— Transcription de la présentation:

1 Chapitre 5 : Gouvernance et politique de sécurité
Plan Chapitre 5 : Gouvernance et politique de sécurité Gouverner la sécurité Gestion du risque informationnel Politique de sécurité Méthodes et normes de sécurité TP3 : Utiliser le logiciel Wireshark pour : - Découvrir les caractéristiques générales et l'encapsulation des protocoles du modèle TCP/IP; - Analyser le trafic réseau. Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Mounir GRARI Sécurité informatique

2 Chapitre 5 : Gouvernance et politique de sécurité
1. Gouverner la sécurité Chapitre 5 : Gouvernance et politique de sécurité 1) Mise en perspective Gouverner la sécurité illustre la volonté de diriger, d’influencer, de conduire de manière déterminante la sécurité et de maîtriser les risques liés à l’insécurité technologique. La gouvernance a pour but d’ assurer que les solutions de sécurité sont optimales. entre autres, elle vérifie qu’elle est en mesure de répondre de manière exacte aux questions: Qui fait quoi? Comment et quand? 2) Gouvernance de la sécurité de l’information Gouverner la sécurité peut être perçu comme un processus pour établir et maintenir un cadre supportant la structure de gestion qui permet de réaliser la stratégie de sécurité. Gouverner la sécurité c’est protéger les actifs informationnels contre le risque de perte, d’ interruption, d’abus, de divulgation non autorisée, ou de risques juridiques liés à la responsabilité légale des acteurs. Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Mounir GRARI Sécurité informatique

3 Chapitre 5 : Gouvernance et politique de sécurité
1. Gouverner la sécurité Chapitre 5 : Gouvernance et politique de sécurité 3) Principes de base de la gouvernance de la sécurité Principes d’une méthode de gouvernance pour la mise en place d’une politique de sécurité. Responsabilité - Une instance assurant la gouvernance doit être responsable de la tâche qui lui appartient. Proportionnalité - Les investissements doivent être en proportionnels au risque informationnel encouru par l’ organisme . Conscience - Les entités directrices sont conscientes du l’importance des actifs informationnels de l’entreprise et ainsi du rôle de la sécurité. Conformité – La démarche de la sécurité doit être conçues en conformité avec les exigences légale de tous niveaux. Efficacité - Les actions à entamer doivent satisfaire les objectifs Ethique – L’ exploitation des ressources informationnelles au sein de l’entreprise doit être éthiquement correcte Inclusion – Les objectifs de toutes les parties intéressées par la démarche doivent être prises en considération. Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Mounir GRARI Sécurité informatique

4 Chapitre 5 : Gouvernance et politique de sécurité
1. Gouverner la sécurité Chapitre 5 : Gouvernance et politique de sécurité Equité – Les entités directrices élaborant les solutions sécuritaires basées sur la perception et les règles démocratiques perçues comme telles dans l’environnement où l’entreprise agit. Transparence – Le devoir d’ informer les parties intéressées sur l’ état courant de la sécurité appartient aux entités directrices. Mesure – Les mesures de sécurité ont pour finalité l’ amélioration de la gouvernance. Objectif – La sécurité informationnelle a un large champ d’ intervenants (processus, ressources, acteurs, culture de l’entreprise…). Réponse – Des tests continus liés aux réponses apportées en situation de crises doivent effectués régulièrement. Gestion du risque – Les entités directrices s’assurent que le processus d’ appréciation des risques se fait d’une manière continue et formelle. Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Mounir GRARI Sécurité informatique

5 2. Gestion du risque informationnel
Chapitre 5 : Gouvernance et politique de sécurité 1) définitions Un risque est la combinaison de la probabilité d’ un évènement et de ses impacts. Un risque exprime la probabilité qu’un valeur soit perdue en fonction d’une vulnérabilités liée à une menace : La terminologie liée au risque distingue l’analyse, l’ évaluation, l’ appréciation, le traitement et la gestion du risque : - Analyse du risque : Exploitation systématique d’ information pour fixer les sources afin de pourvoir estimer le risque. - Evaluation du risque – c’est le processus de comparaison du risque estimé avec des critères de risque donnés pour identifier l’ importance du risque. - Appréciation du risque – Processus d’analyse et d’ évaluation du risque. - Traitement du risque – Processus de sélection et implémentation des mesures visant à modifier le risque. - Gestion du risque – activités coordonnées visant à conduire et à piloter une organisation vis-à-vis des risques. Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Mounir GRARI Sécurité informatique

6 2. Gestion du risque informationnel
Chapitre 5 : Gouvernance et politique de sécurité 2) Principes de gestion Les éléments d’ une démarche de gestion du risque informationnel sont : - Identification des actifs en correspondance avec les critères de sécurité. - Appréciation de vulnérabilités en relation avec les actifs à protéger. - Appréciation des menaces (identification de l’origine(motivation, capacité à se réaliser) et amplificateurs des menaces). - Appréciation du risque (illustration par une matrice des probabilités et des impacts). - Identification des contre-mesures (qui tiennent compte de trois types d’acteurs que sont les processus, la technologie et les utilisateurs). Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Mounir GRARI Sécurité informatique

7 1) Stratégie et politique de sécurité
Chapitre 5 : Gouvernance et politique de sécurité 1) Stratégie et politique de sécurité Politique d’ entreprise Stratégie d’ entreprise Stratégie du système d’ information Politique du système d’ information Politique de sécurité Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Stratégie de sécurité Mounir GRARI Sécurité informatique

8 Chapitre 5 : Gouvernance et politique de sécurité
La politique de sécurité fait la liaison entre la stratégie de sécurité d’ une entreprise et l’ implémentation opérationnelle de la sécurité. La politique de sécurité établit les principes fondamentaux de la sécurité qui permettent de protéger le système d’information. Cette protection est assurée par exemple par : - des règels : classification des l’information; - des outils : chiffrement, firewalls; - des contrats: clauses et obligations; - l’enregistrement, la preuve, l’authentifications, l’identification, le marquage ou le tatouage; - Le dépôt de marques , de brevets, et la protection des droit de l’ auteur. En complément, la protection pourra prévoir : - de dissuader par des règles et des contrôles; - de réagir par l’existence de plans de secours, de continuité et de reprise; - de gérer les incidents majeurs par un plan de gestion de crise; - de gérer les performance et les attentes des utilisateurs; etc. Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Mounir GRARI Sécurité informatique

9 Chapitre 5 : Gouvernance et politique de sécurité
2) Projet d’ entreprise orienté gestion des risques prendre en compte l’analyse des risques liés au systèmes d’information dans un processus de gestion de risque globaux, guide toute la démarche de sécurité d’une organisation. Le risque informatique, informationnel ou technologique doit être défini au même titre que tous les autres risques de l’entreprise (risque métier, social, environnemental, etc.) auxquels doit faire face une entreprise. Ainsi, le risque informatique est un risque opérationnel qui doit être maitrisé. La gestion des risques est le point de départ de l’analyse des besoins sécuritaires qui permet la définition de la stratégie de sécurité. Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Mounir GRARI Sécurité informatique

10 De l’analyse des risques à la politique de sécurité
Chapitre 5 : Gouvernance et politique de sécurité De l’analyse des risques à la politique de sécurité Identification du risque origine Cause Potentialité Impacts, effets, conséquences, gravité Risques choisis, calculés, mesurés, acceptés Risques pris Risques profitables, risques de réussir Analyse – Evaluation – Appréciation Traitement – Gestion des risques Risques subis Risques encourus Risques de perte Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Identification des risques Quantification des risques Risques acceptables? Sécurité des valeurs Politique de sécurité Mounir GRARI Sécurité informatique

11 3. Politique de sécurité Politique de sécurité
Chapitre 5 : Gouvernance et politique de sécurité 3) Propriétés d’ une politique de sécurité Déterminants d’ une politique de sécurité Valeurs Risques Contraintes Vision stratégique de la maitrise des risques Politique de sécurité Que protéger? Pourquoi? Contre qui? Comment? Référentiel de sécurité Règles de sécurité Mesures de sécurité Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Structure organisationnelle Droits et devoirs Plan de contrôle et de suivi Planification Prioritisation des actions Mounir GRARI Sécurité informatique

12 Différentes composantes d’ une politique de sécurité
Chapitre 5 : Gouvernance et politique de sécurité Différentes composantes d’ une politique de sécurité Politique de sécurité Politique de contrôle d’ accès Gestion des identités, des profils utilisateurs, des permission, des droits, etc. Mesures et procédures convivialité Respect des contraintes légales règlementaires Politique de protection Prévention des intrusions et malveillances, Gestion des vulnérabilités, dissuasion, etc. coût Politique de réaction Gestion des crises, des sinistres, des plans, de continuité, de reprise, de modification, d’intervention, de poursuite, etc. performance Politique de suivi Audit, évaluation, optimisation, contrôle, surveillance, etc. Politique d’assurance Politique de sensibilisation Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Mounir GRARI Sécurité informatique

13 4. Méthodes et normes de sécurité
Chapitre 5 : Gouvernance et politique de sécurité 1) Principales méthodes française Pour élaborer une démarche de sécurité, on s’appuie sur une méthode qui facilite l’identification des points principaux à sécuriser. En général la sécurité repose sur un ensemble reconnu de bonnes pratiques que sur une méthodologie unique. Les méthode recommandées par le CLUSIF (CLUb de la Sécurité de l'Information Français, sont Marion (Méthode d’Analyse des Risques Informatiques et Optimisation par Niveau) et Méhari (MÉthode Harmonisée d’Analyse des RIsques). La méthode Méhari est évolutive et compatible avec la norme ISO La DCSSI (Direction Centrale de las Sécurité des Systèmes d’ Information) a élaboré une méthode largement documenté, présentée et téléchargeable sur son site: Dénommée Ebios ( Expression des Besoins et Identification des Objectifs de Sécurité), cette méthode est implémentée par les administrations françaises, permet de fixer les objectifs de la sécurité des organisation, pour répondre à des besoins déterminés. Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Mounir GRARI Sécurité informatique

14 4. Méthodes et normes de sécurité
Chapitre 5 : Gouvernance et politique de sécurité Les différentes méthodes préconisées par le CLUSIF Méthode Marion MEHARI Méthode Marion : Méthode d’analyse des risques informatiques optimisation par niveau Méhari : Méthode harmonisées d’ analyse des risques Propose un cadre et une méthode qui garantissent la cohérence des décisions prises au niveau directorial Structure la sécurité de l’entreprise sur une base unique d’ appréciation dans la complexité des systèmes d’information Permet la recherche des solutions au niveau opérationnel de la sécurité en délégant les décisions aux unités opérationnelles et autonomes Assure, au sein de l’entreprise, l’ équilibre des moyens et la cohérence des contrôles Les applications de Méhari: Plan stratégique de sécurité - Plan(s) opérationnelle(s) de sécurité Traitement d’une famille de scenario - Traitement d’un risque spécifique Traitement d’un critère de sécurité – Traitement d’un scenario particulier Traitement d’ une application opérationnelle – Traitement d’ un projet Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Mounir GRARI Sécurité informatique

15 4. Méthodes et normes de sécurité
Chapitre 5 : Gouvernance et politique de sécurité 2) Norme internationale ISO/IEC 17799 Origine L’origine de la norme IOS élaborée par l’ ISO ( à la fin de l’année 2000 est la norme BS 7799 élaborée par l’association de normalisation britannique en 1995. L’adoption par le marché de la norme ISO à été encouragé par le fait que certaines compagnies d’ assurance demandent l’ application de cette norme afin de couvrir le cyber-risques. Son importance réside dans le fait que la norme aborde les aspects organisationnels, humains, juridiques et technologues de la sécurité en rapport avec les différentes étapes de conception, mise en œuvre et maintien de la sécurité. Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Mounir GRARI Sécurité informatique

16 4. Méthodes et normes de sécurité
Chapitre 5 : Gouvernance et politique de sécurité Elle aborde de dix domaines de sécurité, de 36 objectifs de sécurité et de 127 points de contrôle. Les dix domaines abordés par la norme: Politique de sécurité - Organisation de la sécurité Classification et contrôle des actifs - Sécurité et gestion des ressources humaines; Sécurité physique et environnementale Exploitation de gestion des systèmes et des réseaux - Contrôle d’ accès; Développement et maintenance des systèmes - Continuité de service – conformité Une nouvelle version améliorée de la norme (ISO/IEC 17799/2005) a été proposée en juillet 2005, elle adjoint aux dix domaine de sécurité de nouveaux paragraphes qui concernent l’ évaluation et l’ analyses des risques, la gestion des valeurs et des biens ainsi que la gestion des incidents. Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Mounir GRARI Sécurité informatique

17 4. Méthodes et normes de sécurité
Chapitre 5 : Gouvernance et politique de sécurité Objectifs de la norme ISO/IEC :2005 La norme ISO/IEC :2005 et ces versions antérieurs aident les organisation à répondre à quatre principales questions concernant la protection de leurs actifs informationnels, à savoir : Que protéger et pourquoi? De quoi les protéger? Quels sont les risques? Comment les protéger? En répondant à cette question, l’organisation définit sa méthode sécuritaires. La première étape de celle-ci consiste à réaliser l’ inventaire des valeurs à protéger en distinguent leur degré de criticité afin d’ effectuer des priorités à la réalisation des solutions de la sécurité. Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Mounir GRARI Sécurité informatique

18 4. Méthodes et normes de sécurité
Chapitre 5 : Gouvernance et politique de sécurité Structure, thèmes et chapitres de la norme ISO/IEC 17799:2005 La norme comporte 11 chapitres dont les objectifs sont illustrés dans le figure. Politique de sécurité Conformité Gestion de la sécurité de l’ information Gestion des biens Sécurité liée aux ressources humaines Sécurité physique et environnementale Gestion opérationnelle et gestion de la communication Contrôle d’ accès Acquisition développement, et maintenance des SI Gestion d’ incident liés à la sécurité d’ information Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Gestion de la continuité de l’activité Mounir GRARI Sécurité informatique

19 4. Méthodes et normes de sécurité
Chapitre 5 : Gouvernance et politique de sécurité La structure et les thèmes évoqués dans la version 2005 de la norme sont les suivants: - Introduction - Evaluation des risques et traitements - Politique de sécurité - Organisation de la sécurité de l’ information - Gestion des biens et des valeurs - Sécurité des ressources humaines - Sécurité physique et environnementale - Gestion des communication et des opérations - Contrôle d’ accès - Acquisition, développement et maintenance des systèmes de l’ information - Gestion des incidents de sécurité de l’information - Gestion de la continuité de l’ activité - Conformité Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Mounir GRARI Sécurité informatique

20 4. Méthodes et normes de sécurité
Chapitre 5 : Gouvernance et politique de sécurité Exemple : Gestion des incidents de sécurité de l’information: - Notification des évènements et des faiblesse de sécurité de l’information - Notification des évènements de sécurité de l’ information - Notification des faiblesse de sécurité - Gestion des incidents et des améliorations de la sécurité de l’ information - Responsabilité et procédure - Enseignement à tirer des incidents de sécurité - Collecte de preuves Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Mounir GRARI Sécurité informatique

21 4. Méthodes et normes de sécurité
Chapitre 5 : Gouvernance et politique de sécurité 3) norme internationale de la famille ISO/IEC 27000 La famille des normes 27000 La famille des normes ISO/IEC 27001:2005 aborde le thème de management de la sécurité de l’information dans sa globalité. La norme s’intitule “système de gestion de la sécurité de l’information”. D’autres nome de la famille traitent différents domaines, à savoir: - Les notions fondamentales et une formalisation du vocabulaire (27000) - Guide pour l’ implémentation du Système de Mangement de la Sécurité de l’Information (SMSI)(27003). - Les métriques du management de la sécurité de l’ information (72004). - La gestion du risque en matière de sécurité de l’ information (27005). - Les exigences pour les organismes auditant et certifiant un SMSI(27006) - Directives pour les auditeurs concernant les contrôles à effectuer pour un SMSI (27007); - Directives pour les auditeurs concernant les contrôles à effectuer pour un SMSI(27008) Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Mounir GRARI Sécurité informatique

22 4. Méthodes et normes de sécurité
Chapitre 5 : Gouvernance et politique de sécurité Introduction à la norme ISO 27001 La norme dérive de la norme nationale anglaise BS : 2002 qui a pour but les contrôles à mettre en place pour satisfaire les objectifs de la première partie BS La norme établit un modèle pour établir, implémenter, exploiter, surveiller, maintenir et améliorer le système de management de la sécurité de l’information SMSI (Système de Mangement de la Sécurité de l’Information). La norme s’ appuie sur un modèle PDCA (plan, do, check, act). Comprendre da sécurité sous la forme PDCA contribue à: - Comprendre les exigences de sécurité et besoins de la politique de sécurité; - Implémenter et effectuer des contrôles pour gérer le risque informationnel; - Surveiller et revoir la performance de SMSI - Proposer des améliorations basées sur des mesures de l’ efficacité du SMSI. Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Mounir GRARI Sécurité informatique

23 4. Méthodes et normes de sécurité
Chapitre 5 : Gouvernance et politique de sécurité Le modèle PDCA PLAN Parties intéressées Exigences et expectatives de la sécurité de l’ information Parties intéressées La sécurité de l’ information gérée Etablir SMSI Maintien et amélioration du SMSI Implémenter et exploiter SMSI DO ACT Surveiller SMSI Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. CHECK Mounir GRARI Sécurité informatique

24 4. Méthodes et normes de sécurité
Chapitre 5 : Gouvernance et politique de sécurité Etablir un modèle de gestion de sécurité satisfaisant les exigences de la norme implique trois étapes: - Création d’un cadre managérial afin de spécifier les directives, les intentions et les objectifs pour la sécurité de l’information et définir les politique stratégique qui engage la responsabilité du management. - Identification et évaluation des risques réalisés sur la base des exigences de sécurité définies par l’ entreprise pour identifier les actions managériales appropriées à entreprendre et les priorités pour maîtriser le risque. - Développement du SMSI, choix et implémentation des contrôles à implémenter. Une fois que les exigences ont été déterminées, les contrôles appropriés peuvent être sélectionnées afin de s’assurer que les risques que le système d’ information fait encourir à l’ organisation sont réduit à un niveau acceptable conforment aux objectifs de la sécurité de l’ entreprise. Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Mounir GRARI Sécurité informatique

25 4. Méthodes et normes de sécurité
Chapitre 5 : Gouvernance et politique de sécurité 4) Méthodes et bonnes pratiques Avantage et inconvénients de l’utilisation d’une méthode pour définir une politique de sécurité Avantages Inconvénients Gain en terme d’ efficacité en réutilisant le savoir-faire transmis par la méthode. Capitalisation des expériences. Bien qu’ elles peuvent faire l’ objet de révision (nouvelles versions), les normes ou méthode se n’ évoluent pas au même rythme que les besoins ou les technologies. Une norme ou une méthode est générale. Il faut s’avoir la spécifier en fonction de besoins particuliers de l’ organisation. Langage commun, référentiel d’ actions structuration de la démarche, approche exhaustive. Prolifération des méthodes : difficulté de choix. Disposer des compétences nécessaires. Efforts financiers, durée, coûts, Difficultés à maitriser la démarche qui peut s’ avérer lourde et nécessité des compétences externes. Recourt à des consultants spécialisés. Etre associé à des groupes d’ intérêts. Partage d’ expériences, de documentation, formation possibles. Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Mounir GRARI Sécurité informatique

26 4. Méthodes et normes de sécurité
Chapitre 5 : Gouvernance et politique de sécurité 5) Modèle formel de politique de sécurité Différents modèles proposent une présentation abstraite des principes de sécurité à prendre en compte: - Le modèle de Bell-LaPadula : modèle des exigences de contrôle d’ accès spécifiant une politique de sécurité pour la confidentialité; - Le modèle de Clark et Wilson lié à l’ intégrité des systèmes transactionnels commerciaux Les principales définitions correspondant à ces modèles sont: - Objet O : Entité passive qui reçoit ou possède des informations ou encore l’ Objet de stockage, qui inclut les accès en lecture et en écriture. - Sujet S : Entité active (une personne, un processus ou un équipement) liée à un profil. - Opération licite T : L’ opération licite T est permise pour le sujet S sur l’ Objet O; - Canal caché : exploitation d’ un mécanisme non prévu pour la communication pour transférer des informations d’ une manière qui viole la sécurité. Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Mounir GRARI Sécurité informatique

27 Chapitre 5 : Gouvernance et politique de sécurité
Exercice 26 : Quels sont les avantages relatifs à la définition d’ une politique de sécurité pour une organisation? Exercice 27 : Quels sont les éléments qui permettent de justifier la mise en place d’ une politique de sécurité pour le système d’ information d’ une entreprise? Exercice 28 : Comment s’exprime la rentabilité d’ une politique de sécurité? Exercice 29 : Identifier les principales étapes d’ une démarche sécurité? Exercice 30 : Quels sont, pour une entreprise, les avantages et les inconvénients potentiels liés à l’ externalisation de la sécurité informatique (outsourcing) par rapport à une gestion interne de la sécurité? Exercice 31 : Quelles sont les principales limites de la norme ISO pour la réalisation de la sécurité? Proactive : Qui anticipe les attentes, prend l'initiative de l'action. Démarche, stratégie proactive. Candidat proactif et motivé Reactive : Remettre en activité; redonner une activité à. Réactiver un comité. ▫ Réactiver un agent secret. Mounir GRARI Sécurité informatique