La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sommaire Introduction Les politiques de sécurité Sommaire de politique Groupe puis Métier Quelques conseils pratiques A chacun sa politique La classification.

Présentations similaires


Présentation au sujet: "Sommaire Introduction Les politiques de sécurité Sommaire de politique Groupe puis Métier Quelques conseils pratiques A chacun sa politique La classification."— Transcription de la présentation:

1 Sommaire Introduction Les politiques de sécurité Sommaire de politique Groupe puis Métier Quelques conseils pratiques A chacun sa politique La classification des actifs La promotion de la politique Conclusion

2 Les rôles des entités sécurité Mesure de l'atteinte de ces objectifs (contrôle permanent) Vérification de l'atteinte de ces objectifs (contrôle périodique) Actions pour atteindre ces objectifs (projets, administration…) Définition des objectifs de chaque métier (politique, indicateurs,, livrables…) Amélioration continue (stratégie de maîtrise du risque opérationnel, organisation…) Définition de la politique générale de sécurité

3 Les politiques de sécurité Cadre général de sécurité du groupe : Sécurité de l'information Continuité des opérations Sécurité des biens et des personnes Périmètre à définir selon la norme ISO Sécurité dun métier (activité, entité…) Politique sécurité de lentité, conformément Au cadre réglementaire A lappétence au risque de lentité (stratégie RO) Au cadre de la politique Groupe Entités informatiques de sécurité opérationnelle Mise en œuvre de la sécurité au quotidien Règles opérationnelles applicables Cadre de contrôle permanent La sous-traitance, dont loffshore Administration des secrets et des accès, projets techniques Contrôle / pilotage de la sécurité de production

4 Un référentiel dune politique Groupe

5 Un sommaire de politique métier (1/2) Préambule. 1. Périmètre dapplication. 2. Exigences de sécurité. 3. Principes directeurs. –3.1. Classification des ressources. –3.2. Approche raisonnée de la sécurité des SI. –3.3. Organisation claire et opérante de la sécurité des SI. –34 Maîtrise des accès aux SI. –3.5. Garantie de la continuité des activités. –3.6. Intégration de la sécurité dans les projets SI et maintien du niveau de sécurité dans les applications. –3.7. Capacité de réaction à incident. –3.8. Sensibilisation et formation à la sécurité des SI. –3.9. Pilotage de la sécurité des SI. 4. Responsabilités. –4.1. Responsabilités au sein des activités du Métier AAA. –4.2. Responsabilités dans le cadre des activités liées aux systèmes dinformation. –4.3. Responsabilités des acteurs de la Filière SSI du Métier AAA. –4.4. Dispositifs de contrôle. –4.5. Instances de pilotage. –4.6. Articulation avec les principes de responsabilité définis par le Groupe.

6 Un sommaire de politique métier (2/2) 5. Obligations liées aux SI. –5.1. Cadre législatif et réglementaire. –5.2. Comportements et règles de conduite. –5.3. Contrats de prestations, dhébergement et conventions de service. 6. Métrique de sécurité des SI du Métier AAA. –6.1. Échelle dévaluation dimpact. –6.2. Grille de niveaux de sécurité. 7. Mise en oeuvre de la Politique générale de sécurité des SI Déclinaison opérationnelle de la PGSSI-AAA Évolution et diffusion de la PGSSI-AAA Suivi et contrôle de la PGSSI-AAA. ANNEXE 1 : Échelle dévaluation dimpacts. ANNEXE 2 : Grille de niveaux de sécurité. ANNEXE 3 : Structure du cadre de référence de la sécurité des SI. ANNEXE 4 : Glossaire. ANNEXE 5 : Signatures des validateurs.

7 Quelques conseils pratiques (1/2) Une politique, pour quoi faire ? Se poser dès le départ la question de lobjectif de la production dune politique : raison, lectorat, texte cadre ou règles précises… Périmètre dapplication et responsabilité Bien préciser à qui la politique sadresse : population, activité, entité juridique, implantation géographique… Qui est responsable de quoi Qui décide, qui fait, qui porte le risque, qui contrôle… ? Est-ce réaliste et applicable ? Une politique est opposable Le régulateur la lit et demande « est-ce appliqué, si oui comment, prouvez-le ? »

8 Quelques conseils pratiques (2/2) Est-ce vérifiable ? Procédures et outils de contrôle La vérification technique est souvent nécessaire – mais pas indispensable, la sanction disciplinaire (RH) peut être appliquée même en labsence doutil technique de prévention / détection / contrôle Maintenir à jour le corpus documentaire Versions, références… Style simple et claire Indicatif présent, verbes directs, voix active - Éviter le conditionnel, le futur… Éviter les adjectifs et les adverbes Par exemple : très compatibles, exhaustivement, très sécurisé, parfaitement documenté, inventaire exhaustif, Éviter les anglicismes (quand possible) et disposer dun glossaire Par exemple : encryption (chifffrement), software…

9 A chacun sa politique Les utilisateurs (la grande masse) : instructions claires, pratiques, applicables, dans leur langue (au sens large…) La politique de sécurité du groupe ne les concerne pas… Les manuels de sensibilisation, les guides pratiques (sur leurs outils et comportements) leur sont n nécessaires Les acteurs informatiques Les architectes. La maîtrise douvrage La maîtrise doeuvre et la production informatique La Direction générale (stratégie, aversion au risque, conformité…) Les organes de contrôle (permanent et périodique) – base de leurs contrôles et vérifications La conformité, le risque opérationnel… Lien avec leur politique, leurs contrôles….

10 Classification des actifs La classification des actifs est à la base de toute politique de sécurité Les classes dactifs information : procédures, informations actives ou archivées, logiciel : applicatifs, systèmes, outils de développement, etc. Actif physique : matériel informatique, de communication, supports, Actif service : services de production, d'infrastructure, applicatifs métiers, etc. Les catégories. Disponibilité, intégrité, confidentialité, preuve / trace

11 Validation, diffusion, promotion… Validation de chaque document Relu et validé par les responsables sécurité des entités Nombre raisonnable de relecteurs et autorité en cas de longues discussions… Utiliser des spécialistes pour certains types de sujets Sensibilisation : Direction de la communication Règle de comportement : DRH Règles opposables : Affaires juridiques et Inspection générale… Prévoir la diffusion dès le départ Supports : intranet, papier, messagerie… Et surtout faire connaître les politiques Communiquez, communiquez, communiquez…

12 Conclusion Une politique est nécessaire mais pas suffisante. Elle doit être traduite en règles applicables, en contrôles à exercer. La politique doit surtout être connue et appliquée. Son degré dapplication doit être mesuré – cest le critère de réussite de la démarche, avec la complétude et la pertinence du jeu complet


Télécharger ppt "Sommaire Introduction Les politiques de sécurité Sommaire de politique Groupe puis Métier Quelques conseils pratiques A chacun sa politique La classification."

Présentations similaires


Annonces Google