23-24 mai Sécurité Informatique et Collectivités Territoriales COTER CLUB BULL n Le groupe de travail n Objectifs –Mener une réflexion continue sur la sécurité –Échanger activement entre les responsables de la sécurité (Expériences, nouveautés, besoins, pratiques) –Donner des éléments pour: promouvoir la sécurité auprès des décideurs et des responsables la formation et à la sensibilisation des utilisateurs –Élaborer des documents de portée générale ou thématiques, guide et conseil de lecture.
23-24 mai n Méthodes de travail –Réunion de groupe, démarche participative –Recherche (document de référence, site WEB) –Apport pratique, expérience –Quand je m ’observe, je m ’effraie, Quand je regarde mes collègues, je suis rassuré…. Sécurité Informatique et Collectivités Territoriales COTER CLUB BULL
23-24 mai n Environnement complexe du SI de la collectivité –Généralisation des NTIC, Internet –Complexité organisationnelle et des systèmes –Appropriation des systèmes par les utilisateurs –Dépendance à l’informatique –La multiplicité et le Turn-over des ressources et des composants –Être libre…. Et sécurisé Sécurité Informatique et Collectivités Territoriales COTER CLUB BULL
23-24 mai n Les principes de la sécurité –Disponibilité = continuité de services –Intégrité = exactitude, validité, non-modification –Confidentialité = non-accès illicite ou divulgation –Preuve = auditabilité et non-répudiation –(*) Source Clusif Sécurité Informatique et Collectivités Territoriales COTER CLUB BULL
23-24 mai n Cartographie des activités informatisées –Exemples –Définition de la criticité de ses services Sécurité Informatique et Collectivités Territoriales COTER CLUB BULL
23-24 mai n Les menaces –Accidents (Pannes, dysfonctionnements, bogue, EDF) –Malveillance (vol de matériel + données, attaque logique) –Erreurs (utilisation, exploitation) –Fournisseur (Disparition, abandon de produit) –80 % des atteintes sont d ’origine interne –40 % avec autorisation d ’accès Sécurité Informatique et Collectivités Territoriales COTER CLUB BULL
23-24 mai n Situation (il se dit que c ’est stratégique, prioritaire) –Un problème d’informaticien –Des solutions techniques, et à moindre coût –Politique et règles de sécurité informelles, pas de suivi –Faible implication des responsables –Pas d ’organisation et de responsable sécurité –Une approche en fonction des événements –Pas de démarche globale (risque utilisateur, continuité de service) –LMI du 12/05 au sujet de "I LOVE YOU" « Dans les circonstances, les informaticiens sont souvent chahutés par les utilisateurs, qui les accusent d’imprévoyance, d’inefficacité ou d’indisponibilité » Sécurité Informatique et Collectivités Territoriales COTER CLUB BULL
23-24 mai n Plan et démarche de sécurité –Démarche globale –Formalisation de la politique de sécurité –Définition des fonctions de sécurité et des responsabilités (RSSI), ressource interne et externe Sécurité Informatique et Collectivités Territoriales COTER CLUB BULL
23-24 mai n Sécurité organisationnelle –Élaboration d’un référentiel Procédures d ’organisation et technique Plans de secours, de continuité –Gestion des compétences –Suivi, respect, test des procédures Sécurité Informatique et Collectivités Territoriales COTER CLUB BULL
23-24 mai n Sécurité technique –Réponse à la menace d’accidents Importance d’une détection précoce (procédural) Protection souvent liée à la redondance Ne pas surajouter à l’accident en corrigeant Sécurité Informatique et Collectivités Territoriales COTER CLUB BULL
23-24 mai Sécurité Informatique et Collectivités Territoriales COTER CLUB BULL n Sécurité technique –Protection contre les malveillances Trop de mots de passe tuent le mot de passe Protéger sans faire "fuir" l’usager du service public
23-24 mai Sécurité Informatique et Collectivités Territoriales COTER CLUB BULL n Sécurité technique –Protection générale, y compris contre les erreurs Sauvegardes et restauration –outils de sauvegarde répartie et de restauration –archivage (règles distinctes de la sauvegarde) –stratégie pour les serveurs et les postes individuels Logiciel (suivi des configurations)
23-24 mai Sécurité Informatique et Collectivités Territoriales COTER CLUB BULL n Relation avec les fournisseurs –Risque fournisseur risque économique risque juridique (propriété du logiciel) risque métier (maîtrise des procédés, des technologies) –Risque de l’acheteur (procédure marché public - expression du besoin) –Relation client fournisseur (ingérence, définition des responsabilité, Maîtrise d’ouvrage et d’œuvre)
23-24 mai Sécurité Informatique et Collectivités Territoriales COTER CLUB BULL n Communication vers les utilisateurs, Charte –Les besoins (code de bonne pratique) –Le dilemme (des mondes sécurisé et libre) –La cible (la collectivité, tous les utilisateurs) –La responsabilité (nul n’est sensé ignoré la loi, voir l’encadrement) –La réponse (2 tendances: messages essentiels ou règlement exhaustif)
23-24 mai Sécurité Informatique et Collectivités Territoriales COTER CLUB BULL n PROCHAINS RENDEZ-VOUS n Pour recevoir le 1er document de travail du groupe: n Pour participer à nos réflexions sur la sécurité: –Sauvegarde restauration –Sécurité des sites distants –Relations fournisseurs n Envoyez votre I-mail à: n Projet de forum