Principes de sécurité Ref. : SP rev A

Slides:



Advertisements
Présentations similaires
L’Intéroperabilité. Sommaire  Définition  Développer l’intéroperabilité  Les différents degrés d’opérabilité  La nécessité des normes  Sources.
Advertisements

 La vie  Le vieillissement  La vieillesse  L’autonomie  La place de la PA dans notre société  Les conséquences socio-économiques  Les PA dans le.
Pour comprendre comment la créativité et l’innovation sont les moteurs de l’évolution technologique La commande par la pensée ? La commande par le mouvement.
Présentation de Scribe Votre nouvelle organisation du Réseau Informatique Pédagogique.
Présentation LabPlus v3. Solution novatrice en Technologies de l’information Solution novatrice en Technologies de l’information Application pour la Gestion.
Comité technique du 30/03/2012 Point d'étape sur l'assistance de la DISI Ouest.
1 Gestion Electronique de documents (GED) ✔ Définition Efficacité d'une entreprise dépend de la capacité à traiter et consulter les informations qu'elle.
L’évolution du SI. Introduction De nombreux éléments peuvent amener une organisation à faire évoluer son système d’information : Modification des besoins.
La mise en réseau des ordinateurs à l'école Sources : Educnet christian.caleca.free.fr.
Refonte du portail eaufrance Présentation du cadre de référence pour avis GCIB – 14/10/2014 – Anne Macaire.
Que faire? La recherche découverte. Dans une recherche découverte Sensibilisation ; Discussion ; Préparation-projet ; Opération-activités ; Réflexion.
1 Module de formation « ERP » Sommaire Master Spécialisé en Management des Technologies de l’Information EPITA M. Patrick SZYCHTER Mai 2006.
ARCHITECTURE RESEAUX.
Ce videoclip produit par l’Ecole Polytechnique Fédérale de Lausanne
Les stratégies de sécurisation numérique
Présenté par M. Anis DIALLO
GABTOUR EST UNE AGENCE DE VOYAGE EN LIGNE
épreuve E6 questionnement possible
Comment Sécuriser Le Système d’information de son entreprise
Mars 2017 Politique de Sécurité Ionis-STM - David MARKOWICZ.
FARAH.Z "Cours sécurité1" /2016
Formation BTS CG – Parc Chabrières
7.9 Les entretiens annuels Textes de référence Norme AFNOR NF X § 5 Compétences requises liées aux fonctions 7.9 Les entretiens annuels.
ELectrotechnique Energie Equipements Communicants
PLAN DE FORMATION DES EQUIPES DES SYSTEMES D’INFORMATION EN DELEGATION
Reconnaissance et exploitation des intervalles dans le jeu des enfants des centres de promotion Présenté par: Fray Hammouda.
Gilles Brevan Référent PdP service Prévention des Risques Professionnels de Seine & Marne. Rôle et missions du service Prévention des Risques Professionnels.
7.10 Le suivi des évaluations annuelles Textes de référence Norme AFNOR NF X § 5 Compétences requises liées aux fonctions 7.10 Le suivi.
Préparation d’une formation à la Fonction tutorale
Introduction au principe de la mise en réseau
SECURITE DU SYSTEME D’INFORMATION (SSI)
2ème partie – mise en oeuvre
Votre succès est notre but !
Le cabinet d’avocat: une entreprise du droit Présentation de Maître Mame Adama GUEYE Formation Continue CIFAF Dakar 2 Décembre 2014.
KORRIGO UN PROJET BILLETIQUE INTEROPÉRABLE
KORRIGO UN PROJET BILLETIQUE INTEROPÉRABLE
Démarche qualité sur les chantiers du génie civil
Module 5: Travail au niveau de la communauté
Tableau de bord des risques
Mise en place d’une stratégie de groupe
Chapitre 8: le plan de marchéage
Direction commerciale
Notion De Gestion De Bases De Données
Rapport sur l'état d'avancement
Processus « Contrôler les subventions réglementaires» Harmonisation et simplification administrative – 11 mai CSS.
Règlement général sur la protection des données
Responsable Petite et Moyenne Structure
Matthieu DESIDERIO Université de La Rochelle Master 1 – Semestre 1
Activité “Fil rouge” MOOC Blockchain
Présentation des nouveaux programmes de Technologie Mai 2008
LLAGONNE Vincent MAUPIN Nicolas FERNANDEZ Quentin
SMSST : bilan global des audits
Déploiement Windows 10 Forum du CEG 2017 Polyvalence Qualité
Travailler différemment pour transformer le service
Présenté par M. Anis DIALLO
Un Mécanisme d‘Adaptation Guidé par le Contexte en Utilisant une Représentation par Objets Manuele Kirsch Pinheiro Laboratoire LSR – IMAG, Équipe SIGMA.
S. Dorsaz - R. Doureradjam
Formation « Utiliser un site Internet école »
Réforme du Lycée
REUNION DES INTENDANTS ET CHEF DE TRAVAUX BUREAU D’ETUDES TECSEN
REFERENTIEL DES FONCTIONS ET ACTIVITES DES ASSISTANTS DE SCOLARISATION
L’analyse de la valeur des projets informatiques
Module 5: Travail au niveau de la communauté
Nous sommes tous PPG ! Notre raison d’être
Introduction à l’approche Une Santé
Backup des Postes de Travail
Gouvernance de la technologie de l’information (IT)
STRATÉGIE 2030 UNE PLATEFORME POUR LE GHANGEMENT
RAPPORT DU GROUPE 4 Rapporteur: Jacques DOUKA
CR-GR-HSE-414 Exigences HSE pour l’opération des pipelines
Transcription de la présentation:

Principes de sécurité Ref. : SP800-27 rev A Qui suis-je ? Principes de sécurité Ref. : SP800-27 rev A Aujourd’hui Principes & lessons Mot de passe Gestion des sessions Semaine d’évaluation Votre devoir ? 17 principes couverts Non couvert par les questions: 11-13-16-17-19-20-22 24 à 32

Qui suis-je ? Il est important d’avoir une bonne compréhension des nouvelles menaces, d’effectuer une veille technologique et des audits. Principe 18 : Fournir l’assurance qu’un système continue de résister aux attaques connues et répertoriées. Effectuer une veille technologique et des audits.

Qui suis-je ? La plupart des organisations dépendent de manière significative sur les systèmes d'information distribués. Ces systèmes distribuent de l'information à la fois dans leur propre organisation et à d'autres organisations . Pour que la sécurité soit efficace dans de tels environnements , les concepteurs de programmes de sécurité devraient … ? Principe 12 : Si possible, utiliser des normes et standards de sécurité afin de faciliter la portabilité et l’interopérabilité. Par exemple, ne jamais développer sa solution cryptographique. compatibilité entre application (p.ex certificat (s-mine) entre fournisseurs différent. SIEM pour récupération syslog, etc.)

Qui suis-je ? Je permets de : Maintenir la responsabilité et la traçabilité d'un utilisateur ou d'un processus. Attribuer des droits spécifiques à un utilisateur ou un processus individuel. Prévoir la non-répudiation. Appliquer les décisions de contrôle d'accès. Empêcher les utilisateurs non autorisés de passer pour un utilisateur autorisé. Principe 33 : Utiliser des identifiants uniques pour permettre la traçabilité.

Qui suis-je ? Je permets d’aller chercher le support de l’organisation pour mettre en place une sécurité de l’information. Je définis également les objectifs de sécurité ainsi que les rôles et responsabilités de la sécurité de l’information au sein de l’organisation. Principe 1 : Politique de sécurité Définir l’ensemble des politiques de sécurité sur lequel devra reposer la sécurité. Définir les objectifs en fonction de la confidentialité, de l’intégrité et de la disponibilité des actifs, en fonction de l’imputabilité des actions et du niveau d’assurance désiré.

Qui suis-je ? L’élimination de tous les risques n’est pas nécessairement rentable. Une analyse coûts-avantages devrait être effectuée pour chaque contrôle proposé. Dans certains cas, les avantages d'un système plus sécurisé ne peuvent pas justifier les coûts directs et indirects. Les avantages comprennent plus que la prévention de la perte monétaire; par exemple, les contrôles peuvent être essentiels pour maintenir la confiance du public. Il peut également être nécessaire de modifier ou d'ajuster les objectifs de sécurité due à d'autres exigences opérationnelles. Principe 5 :Réduire le risque à un niveau acceptable. Réduire l’impact d’une vulnérabilité. Réduire la vraisemblance d’une attaque. Principe 7 : Identifier les compromis entre la réduction d’un risque et l’augmentation des coûts ou la perte d’efficacité.

Qui suis-je ? Sans ce principe, il est à la fois difficile et coûteux de mettre en œuvre des mesures de sécurité correctement et avec succès après qu’un système a été mis en production. Principe 2 : Intégrer la sécurité au cœur même de l’architecture globale. Intégrer la sécurité dans tout le cycle de vie du système.

Qui suis-je ? Un système qui communique avec d’autres tiers, que ce soit des systèmes ou des utilisateurs ne peut pas considérer que les contrôles de ces tiers sont de confiance. Principe 6 : Supposer que toute interaction avec un tiers soit risquée. Que ce soit un système externe ou interne. Un système interne peut éventuellement être compromis et représenter un risque.

Qui suis-je ? Parfois, les composants pris sur étagère, soit ceux fabriqués en série et non pour un projet en particulier ne permettent pas d’atteindre les objectifs de sécurité. Principe 10 : Développer au besoin des produits spécifiques. attention au One Size Fit All

Qui suis-je ? Les menaces sont en constantes évolutions. Un mécanisme de sécurité qui est efficace en 2011 ne l’ait pas forcément en 2016. Ce faisant, chaque mécanisme de sécurité devrait être en mesure de soutenir la migration vers une nouvelle technologie ou mise à jour de nouvelles fonctionnalités. Principe 14 : Concevoir un système pour qu’il puisse être mis à jour simplement. L’absence de toute réévaluation d’un système peut mener à une fausse perception de sécurité et augmenter les risques sous-jacents. Les mécanismes de sécurité doivent être mis à jour au besoin sans nécessiter une nouvelle architecture.

Qui suis-je ? Une politique de sécurité de l’information régit un ensemble spécifique d'informations et de technologies de l'information qui peuvent traverser les frontières physiques définies dans des politiques de sécurité physique. De plus, il peut arriver qu’une seule machine ou serveur puisse accueillir à la fois des accès publics et de l'information sensibles. Principe 3 : Clairement déterminer les limites physiques et logicielles du périmètre de sécurité devant être régi par l’ensemble des politiques de sécurité.

Qui suis-je ? Un système d’information peut traiter, stocker et communiquer de l’information. Chacune de ses actions peut comprendre des vulnérabilités. Principe 9 : Protéger l’information en tout temps. Lors de son traitement, de son stockage ou de sa transmission.

Qui suis-je ? Une maintenance et une exploitation complexes d’un contrôle de sécurité , demande plus de formation, sont souvent moins efficaces et sont plus propices aux erreurs. Principe 15 : Chercher à simplifier l’utilisation d’un système. Plus il est difficile de maintenir et d’opérer un système, moins le système est efficace.

Qui suis-je ? Permet le maintien du fonctionnement d'une organisation en cas de catastrophe ou d'interruption de service prolongée qui affecte la mission de l'organisation. Principe 23 : Mettre en place des plans de continuité et de reprise pour s’assurer de la disponibilité d’un système.

Qui suis-je ? Identifier les interfaces externes du système d’information. Identifier les endroits où l’information entre et sort du système d’information. Identifier les ports, protocoles, les services qui sont requis pour le système d’information Etc. Principe 21: Déployer des mécanismes de sécurité à la frontière entre les systèmes. Déterminer les flots d’information. S’assurer de contrôler l’accès aux actifs critiques.

Qui suis-je ? Il est risqué de supposer que l’équipe de développeurs connaît les bonnes pratiques sécuritaires de développement et sait comment développer des logiciels sécurisés. Principe 4 : S’assurer que les concepteurs soient formés de façon adéquate pour traiter les problèmes de sécurité.

Qui suis-je ? Les besoins de sécurité des TI ne sont pas uniformes. Les concepteurs de systèmes et les professionnels de la sécurité devraient tenir compte des différents besoins. Ce faisant, la mise en œuvre des solutions d'assurance moins élevée avec des coûts moindres pour protéger les systèmes moins critiques et des solutions d'assurance plus élevés pour protéger les systèmes plus critiques. Principe 8 : Mettre en place des mesures de sécurité appropriées aux besoins d’affaire.