La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

SDTICE Séminaire 24/09/2009 D2 : Sécurité de l'information et des systèmes d'information C Mathieu – ECAM Lyon.

Présentations similaires


Présentation au sujet: "SDTICE Séminaire 24/09/2009 D2 : Sécurité de l'information et des systèmes d'information C Mathieu – ECAM Lyon."— Transcription de la présentation:

1 SDTICE Séminaire 24/09/2009 D2 : Sécurité de l'information et des systèmes d'information C Mathieu – ECAM Lyon

2 2 SDTICE Séminaire 24/09/2009 D2 : Sécurité de l'information et des systèmes d'information D2-1 : Maîtriser les processus d'une politique de sécurité pour participer à sa mise en place La politique de sécurité de linformation (PSI ou PSSI) doit permettre à lentreprise de se protéger des risques relatifs à linformation. Elle se concrétise par un document décrivant les objectifs stratégiques que doit permettre datteindre la politique, et les règles à appliquer pour atteindre ces objectifs. Cette compétence doit sappuyer sur une connaissance générale devant induire certains comportements élémentaires. Elle na pas pour ambition dinstaller un savoir faire complet et structuré.

3 3 SDTICE Séminaire 24/09/2009 D2 : Sécurité de l'information et des systèmes d'information D2-1 : Maîtriser les processus d'une politique de sécurité pour participer à sa mise en place Comprendre le rôle du document de définition de la PSSI (périmètre, actualisation) Connaître les caractéristiques attendues dun système dinformation, en termes de sécurité Connaître lexistence de méthodes de mise en place dune PSSI en incluant les règles de sécurité, à partir d'un modèle de référence Adapter ses comportements et ceux de son équipe en conformité avec la PSSI de létablissement

4 4 SDTICE Séminaire 24/09/2009 D2 : Sécurité de l'information et des systèmes d'information D2-2 : Distinguer les acteurs de la mise en place de la politique de sécurité et identifier leurs responsabilités légales. Reconnaître le rôle prédominant de la direction dans la définition d'une PSSI Identifier le rôle de chacun dans lapplication dune PSSI, et en particulier sa responsabilité individuelle et managériale au sein de l'entreprise, par rapport au non respect de règles édictées. Distinguer les responsabilités entre les fonctions du RSSI et du RSI/DSI, et la nécessaire séparation des rôles. Identifier les principaux types de responsabilité des acteurs de lentreprise, et les implications juridiques

5 5 SDTICE Séminaire 24/09/2009 D2 : Sécurité de l'information et des systèmes d'information D2-3 : Identifier et hiérarchiser les informations afin de les exploiter de façon adéquate Identifier à chaque étape de la vie dun document, les règles de traitement et de conservation associées à chaque niveau de sensibilité Choisir les outils informatiques en fonction de la sensibilité des informations manipulées Toute démarche de sécurisation de linformation nécessite une identification préalable de la sensibilité de chaque information. Il est inutile, utopique et coûteux de protéger avec les mêmes niveaux de sécurité toute linformation de lentreprise. La hiérarchisation de linformation est donc la base de sa sécurisation. Elle est abordée dans le cadre de la compétence D5-2.

6 6 SDTICE Séminaire 24/09/2009 D2 : Sécurité de l'information et des systèmes d'information D2-4 : Évaluer la sûreté des procédures et connaître la limite des outils permettant de traiter linformation, selon le lieu et le mode d'accès Identifier la typologie dusage des accès au réseau de lentreprise, Associer risque/niveau de confidentialité à chaque typologie daccès Respecter les contraintes imposées par lentreprise. Faire preuve desprit critique lors de lutilisation doutils TIC et lapplication de procédures Par typologie daccès, on désigne : Le poste utilisé : poste de travail (entreprise, personnel, mobile) ; lieu dusage (domicile, hot spot, cybercafé, …). Le protocole ou service utilisé : protocoles non chiffrés, SSL, WEP/WPA, VPN …

7 7 SDTICE Séminaire 24/09/2009 D2 : Sécurité de l'information et des systèmes d'information D2-5 : Estimer les risques accidentels et intentionnels afin que soient prises les dispositions nécessaires Toute étude de risque sappuie sur lévaluation des menaces, des vulnérabilités et des impacts. Il est nécessaire quune démarche simple ait été appliquée au moins une fois. … Pour guider cette analyse, on pourra sappuyer sur une équation du type : Risque = Menace Vulnérabilités Impact Il existe des méthodes danalyse du risque sur les systèmes dinformation, type Méhari (CLUSIF) ou EBIOS (DCSSI). Létude de ces méthodes nest pas nécessaire dans le cadre de lacquisition de cette compétence, mais peut servir de référence.

8 8 SDTICE Séminaire 24/09/2009 D2 : Sécurité de l'information et des systèmes d'information D2-5 : Estimer les risques accidentels et intentionnels afin que soient prises les dispositions nécessaires Identifier les principaux risques accidentels pouvant porter atteinte au système d'information de l'entreprise, et les mesures de sauvegarde pouvant être appliquées Identifier les risques intentionnels humains internes ou externes, et les mesures de sauvegarde pouvant être appliquées Savoir identifier une attaque de type « ingénierie sociale »

9 9 SDTICE D2 : Sécurité de l'information et des systèmes d'information Pistes pour la formation / lévaluation Cours dédié à la Sécurité des Systèmes dInformation Cours dinformatique, de réseaux, de systèmes dinformation Ces cours peuvent être en partie reformulés pour mettre en évidence les enjeux de la SSI, et creuser certains points Conférence SSI / CNIL DCRI, Cusif Rapport de stage : Étudier la PSSI de lentreprise (ou à défaut les mécanismes sy rapportant) Quels sont les acteurs ? Comment linformation est-elle gérée ? Comment y accède-t-on ? Quels sont les risques ? Internes et externes Études de cas : Partir dun type de document que lapprenant est amené à utiliser (sujet dexamen, rapport de stage, formulaire administratif dinscription, relevé de notes, blog privé des étudiants, etc.) Séminaire 24/09/2009


Télécharger ppt "SDTICE Séminaire 24/09/2009 D2 : Sécurité de l'information et des systèmes d'information C Mathieu – ECAM Lyon."

Présentations similaires


Annonces Google