La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

29/09/20141 Présenté par : SEBKY Rym AIDOU Zakaria.

Présentations similaires


Présentation au sujet: "29/09/20141 Présenté par : SEBKY Rym AIDOU Zakaria."— Transcription de la présentation:

1 29/09/20141 Présenté par : SEBKY Rym AIDOU Zakaria

2 PLAN Introduction Qu’est ce qu’un système d’information Les enjeux de la sécurité d’information Les objectifs de la sécurité d’information Qu’est ce que l’ISO Qu’est ce que le COBIT Qu’est ce que l’ITIL Conclusion 29/09/20142

3 Qu’est ce qu’un système d’information Un système d'information (noté SI ou TI ) représente l'ensemble des éléments participant à la gestion, au stockage, au traitement, au transport et à la diffusion de l'information au sein d'une organisation. On distingue généralement trois grandes catégories de systèmes, selon les types d'applications informatiques: les systèmes de conception : calcul numérique, conception assistée par ordinateur,.... ; les systèmes industriels ou embarqués, qui fonctionnent selon des techniques temps réel ; les systèmes d'information et de gestion, qui emploient des techniques de gestion. 29/09/20143

4 Les enjeux de la sécurité d’information 29/09/20144 INFORMATION Bases de données de l’E/se Brevets et méthodes … ACTIF L’information est un actif aussi important que les actifs liés aux systèmes de production Sécurité Garantir: la disponibilité L’intégrité La confidentialité

5 Les objectifs de la sécurité d’information „Amélioration des performances „Amélioration de la qualité du service „Transparence et valorisation des TI(SI) „Amélioration des contrôles „Conformité aux lois et règlements Protéger l’INFORMATION de l’entreprise 29/09/20145

6 6 Norme pour la sécurité informatique

7 Qu’est ce qu’ISO ? C’est un standard international pour la gestion de la sécurité de l’information Un code de pratique pour la gestion de la sécurité de l’information Une base pour des relations contractuelles Une base pour la certification par une tierce partie Peut être certifié par un organisme de certification S’applique à tous les secteurs de l’industrie et à des organisations de toutes les tailles 29/09/20147

8 ISO Elle contient dix domaines spécifiques composés de 36 objectifs et de 127 mesures de sécurité. Voici un bref aperçu de chacun des domaines: 29/09/20148

9 ISO – Domaines d’intervention 29/09/ Politique de sécurité - Procurer des directives et des conseils de gestion pour améliorer la sécurité des données. „ 2. Sécurité de l'organisation - Faciliter la gestion de la sécurité de l'information au sein de l'organisation. „ 3. Classification et contrôle des actifs - Répertorier les actifs et les protéger efficacement. „ 4. Sécurité du personnel - Réduire les risques d'erreur humaine, de vol, de fraude ou d'utilisation abusive des équipements. „ 5. Sécurité physique et environnementale - Empêcher la violation, la détérioration et la perturbation des installations et des données industrielles.

10 ISO – Domaines d’intervention 29/09/ Gestion des télécommunications et des opérations - Garantir un fonctionnement sûr et adéquat des dispositifs de traitement de l'information. 7. Contrôle des accès - Contrôler l'accès aux données. 8. Développement et entretien des systèmes - Garantir que la sécurité est incorporée aux systèmes d'information. 9. Gestion de la continuité des opérations de l'entreprise - Réduire les effets des interruptions d'activité et protéger les processus essentiels à l'entreprise contre les pannes et les sinistres majeurs. 10. Conformité - Prévenir les manquements aux lois pénales ou civiles, aux obligations réglementaires ou contractuelles et aux exigences de sécurité.

11 29/09/201411

12 29/09/ ISO – Modèle PDCA

13 29/09/ Control Objectives Information and related Technology

14 29/09/ C’est une structure de relations et de processus visant à diriger et contrôler l'entreprise pour qu'elle atteigne ses objectifs en générant de la valeur, tout en trouvant le bon équilibre entre les risques et les avantages des TI et de leurs processus. CobiT : Gouvernance, contrôle et audit de l’Information et des Technologies Associées

15 29/09/ Principes du CobiT CobiT aide le management à établir des liens entre les risques métiers, les besoins de contrôle et les problématiques techniques. CobiT constitue un référentiel complet permettant de mettre sous contrôle l’ensemble des opérations liées aux systèmes d’information. CobiT est organisé en un ensemble de 34 objectifs de contrôle généraux regroupés en quatre grands domaines: Planification et organisation - PO Acquisition et mise en place - AMP Distribution et support - DS Surveillance - S

16 Principes du CobiT 29/09/201416

17 Objectifs du CobiT 29/09/ COBIT répond aux besoins: Incorpore les standards internationaux majeurs; est devenu le standard de facto pour le contrôle des TI; démarre à partir des requis d’affaires; est orienté « processus ».

18 29/09/ Information Technology Infrastructure Library

19 Présentation d’ITIL Information Technology Infrastructure Library(ITIL) est un ensemble d'ouvrages recensant les bonnes pratiques (" best practices ") pour la gestion des services informatiques (ITSM), édictées par l'Office public britannique du Commerce (OGC) Ces derniers abordent les sujet suivant: Comment organiser une production informatique ? Comment améliorer l'efficacité du système d'information ? Comment réduire les risques ? Comment augmenter la qualité des services informatiques ? 29/09/201419

20 Principes d’ITIL Il contient 8 guides : 6 sur les meilleurs pratique 1 sur l’utilisation d’ITIL 1 sur l’avenir des services IT Le cœur d’ITIL concerne la gestion de l’exécution des services informatiques. 29/09/201420

21 Principes d’ITIL Il couvre les 6 processus suivant : Gestion des configurations Gestion des changements Gestion des mises à jour Gestion des support Gestion des incidents Gestion des problèmes Les guides ITIL Présentent ce qu’il faut faire et non comment il faut faire, ni dans quel ordre. 29/09/201421

22 Principes d’ITIL (suite) Malgré l’existence de nombreux processus dans ITIL qui concourent à l’amélioration de la disponibilité du SI, la création d’un processus de management de la sécurité dans ITIL est assez récent (et encore peu utilisé ). ITIL n’est pas une norme internationale, c’est un guide de bonnes pratiques (basé sur les concepts de ISO13335 et ISO17799). 29/09/201422

23 Intérêt d’ITIL dans le management de la sécurité Les point forts de l’ITIL sont surtout sur les processus de support Prévoit une démarche claire dans la gestion d’incidents, la gestion de problèmes, et l’impact sur les processus de configuration. Dans les entreprises utilisatrices d’ITIL, c’est généralement autour des processus de support que se fait la capitalisation de bonnes pratiques Cependant, ITIL est trop général pour apporter une réelle assistance à la mise en œuvre d’une politique de sécurité sur une exploitation informatique et n’intègre pas une démarche structurée d’analyse des enjeux, de diagnostic de vulnérabilité et de préconisation de mesures de sécurité. 29/09/201423

24 29/09/ Forces  „ CobiT „ Guide de bonnes pratiques de gouvernance TI „ Orienté processus „ Valorisation des TI „ Pratiques de contrôles „ Guide d’audit  „ ISO „ Code de pratiques de sécurité de l’information „ Comment faire, quoi faire pour sécuriser les TI  „ ITIL „ Orienté vers le service clientèle „ Mesurable „ Valorisation des TI „ Gestion des incidents „ Axé sur centre de service Faiblesses  CobiT „ Quoi faire,comment faire „ Général, approche de haut niveau  „ ISO „ N’est pas de la gouvernance des TI, c’est un apport à la gouvernance „ Ne mesure pas la valeur des TI „ Strictement orienté sécurité TI  „ ITIL „ Faible en sécurité „ N’est pas de la gouvernance des TI, c’est un apport à la gouvernance

25 29/09/ chaque guide a ses forces et faiblesses „ aucun d’eux n’est « l’OUTIL » universel „ Il faut optimiser l’outil en fonction des objectifs visés „ La force des guides est dans leurs «spécifités» et complémentarités. Conclusion

26 29/09/ Merci de votre attention

27 29/09/201427

28 29/09/201428

29 29/09/201429


Télécharger ppt "29/09/20141 Présenté par : SEBKY Rym AIDOU Zakaria."

Présentations similaires


Annonces Google