Sécurité des SI ISO/CEI 27001

Slides:



Advertisements
Présentations similaires
Les processus.
Advertisements

Adopter le KM mix pour obtenir ou renforcer le leadership Préparé par: Ilham ELKORCHI Meriem NASIRI Mohammed BENMRAH Encadré par: Ouidad AMRANI.
IFSI 2, 3 et 4 avril 2013 Maika BERROUET « Ce n'est point dans l'objet que réside le sens des choses, mais dans la démarche. » Antoine de Saint-Exupéry.
Journée Régionale Grand-Est Qualité Sécurité des soins (ARS/HAS)
Arnaud David Juriste Senior - Microsoft
Du plan de diagnostic à la planification des études
LOGICIELS DE GESTION COMPTABLES
Formation relative à la ligne directrice GD211
Les parties intéressées
LA NORME ISO 9001 : 2008 Introduction Pourquoi une démarche qualité?
Réunions octobre – novembre 2016
Cours MGL 847 Amélioration des processus
La politique de sécurité et le filtrage dans les réseaux
BILAN D’ACTIVITES SEMESTRIEL 2014
PORTEFEUILLE DE COMPETENCES
Information et Système d’Information
BTS PILOTAGE de PROCÉDÉS
Vers une nouvelle gouvernance de la donnée personnelle
Quizz ISO 9001 V nouvelles questions
Marketing opérationnel et stratégique
L’evolution du concept qualité
Maîtriser la qualité en conception
Amélioration de la qualité des forfaits
La gouvernance de la sécurité sociale
L’audit Un outil pour s’améliorer continuellement.
Normes de qualité et de management.
le plan de continuité d’activité ( le pca )
Les documents normatifs Les documents français : - documents normatifs NF : norme française Pr NF : norme en projet - documents d’information FD : fascicule.
Et la vie lycéenne Vous présentent.
Le système d’information dans l’organisation
Pack SMSI (Système de management de la sécurité informatique )
1 La gestion par activités (ABM) pour mieux gérer les coûts et les processus dans l’organisation. S o l u t i o n s `
VCA Master 1 QHS - QSE 1 Historique – Evolution – Version – Certification – Champ d’application – Structure - VCA vs OHSAS.
P.Baracchini, La norme international OHSAS et la directive MSST Gérer la santé et la sécurité au travail.
Université sultan Moulay Slimane Faculté Polydisciplinaire Béni Mellal MASTER SPÉCIALISÉ MANAGEMENT DES RESSOURCES HUMAINES MODULE :La Gestion Prévisionnelle.
Les normes de l’Audit Interne Cour N° 02. Le but des normes de l’audit interne: - Contribue au professionnalisme de la profession - Amélioration des performances.
La démarche Qualité et étapes Par Ilyass El Yamani.
CYFORPRO Cyber Formation & Protection
1 Université Sidi Mohamed Ben Abdallah Faculté des Sciences et Techniques FES Projet de fin d’étude Préparation à la mise en place d’un système de management.
GOUVERNANCE DES SYSTEMES D’INFORMATION IS governance.
22 septembre 2014 NF EN ISO novembre 2011 Systèmes de management de l’énergie : Exigences et recommandations de mise en œuvre.
Evolution des normes ISO 9001 et v OBJECTIFS DE LA PRÉSENTATION Connaître les principales évolutions des normes 9001 et v 2015.
SYSTEME DE MANAGEMENT DE LA QUALITE : LA NOUVELLE NORME ISO 9001 version 2015.
Normalisation & Certification M2PQSE Nedra Raouefi 2018/
pour les personnes en situation de handicap
CAP Employé de Vente Spécialisé Épreuve EP2
Présentation par le Ministre Prof. Prokopis Pavlopoulos
Association des Transporteurs Aériens Francophones
Présentation des priorités en matière d’audit externe Atelier des parties prenantes Tunis, 3 novembre 2010.
Jean Heinen 09/031 ® ® nom déposé de SAI. Jean Heinen 09/032 SA 8000 SA Social Accountability ou Responsabilité Sociale.
BTS Aéronautique Les stages en entreprise En 2 ème année : stage d’ingénierie. Deux stages en entreprise, à finalités différentes, sont organisés au cours.
Source : Certification-QSE.com (Ré)Agir Analyse Actions Curatives Actions Correctives Roue de Deming / PDCA page 1 Plan Do Check Act Planifier Objectifs.
“AUDIT INTERNE Qualité ISO 9001” Direction Activité BPE PREFA
Évaluation des risques dans lA planification des missions
La collecte d’informations Présenté par: Boudries. S.
OFASOLUTIONS – 20 av. Pdt Vincent Auriol – PANAZOL Tél : Fax : ISO Une réponse à la maîtrise des CCP?
Organisation. Organisation-Module 18 2 Objectifs d’apprentissage A la fin de ce module les participants seront en mesure de :  Décrire les éléments organisationnels.
Qu'est-ce que l'audit de TI?
TESTS D’UTILISABILITE DANS LES SERVICES PUBLICS
ADMINISTRATION NUMERIQUE
Concepts et étapes Ateliers de formation à la mise en œuvre
du domaine d'application
Les documents normatifs Les documents français : - documents normatifs NF : norme française Pr NF : norme en projet - documents d’information FD : fascicule.
Pourquoi la mise en place d’un système de management de la Qualité, de l’Environnement, de la Santé et de la Sécurité (normes ISO 9001 – ISO – OHSAS.
2.5. La réorientation des prospects Textes de référence Exigence de la norme AFNOR NF X §3.2 « c) Assurer un accueil physique et/ou téléphonique.
ÉTUDE PREALABLE DE LA MISE EN PLACE DU SMSST SELON LA NORME ISO Université Hassan 1 er Faculté des Sciences et Techniques – Settat Réalisé.
1 Système de Management Intégré Professeur : Préparé par : Mme. El AOUFIR KHOUAKHI Daoud Mme. El AOUFIR KHOUAKHI Daoud MEGDOUBI Zouhair MEGDOUBI Zouhair.
Mettre en place un système de Management
BTS Aéronautique Les stages en entreprise En 2 ème année : stage d’ingénierie. Deux stages en entreprise, à finalités différentes, sont organisés au cours.
Transcription de la présentation:

Sécurité des SI ISO/CEI 27001 Zineddine Boukherou Consultant en Sécurité Informatique Lead Implementer ISO/CEI 27001

Objectifs de l’intervention Les objectifs de l’intervention : - Connaître le métier de la sécurité informatique Acquérir des connaissances pour implémenter un SMSI selon les exigences de la norme ISO/CEI 27001 Apprendre, par des exemples de cas concrets, les processus d’Implémentation des SMSI et d’Audit informatique Oct. 2016 Université de Jijel

Plan Les différents métiers de la sécurité informatique Introduction au Concept de Système d’information ISO/CEI 27001:2013 Contexte et objectifs de l’ ISO/CEI 27001:2013 Structure de la norme Présentation des clauses 4 à10 Oct. 2016 Université de Jijel

Les différents métiers de la sécurité informatique RSSI (Monsieur sécurité) Chargé de la définition et de la mise en œuvre de la politique de sécurité de l'entreprise. Le garant de la disponibilité, la sécurité (confidentialité) et l'intégrité du système d’information et des données. Intégrateur des solution de sécurité / Administrateur (Système, Réseaux) : Firewall, IDS, IPS, Antivirus, patch management, … Auditeur / Implémenteur / Risque Manager Pentester Pentest ou test d’intrusion : Simuler une attaque (black box, grey box, white box) Pentest <> De l’audit : exploitation des failles pour montrer la vulnérabilité et situer le niveau de risque Oct. 2016 Université de Jijel

Formations et Certifications CISSP (ISC)² ISO/CEI 27001: Implementer, Auditer, Lead implementer, lead auditer ISO/CEI 27005 : Risk manager SOX (Sarbanes-Oxley) Formations et certifications des éditeurs et fournisseurs de solutions (ex: Symantec, Fortinet, Cisco, …) Ethical Hacker Oct. 2016 Université de Jijel

ISO/CEI 27001:2013 Oct. 2016 Université de Jijel

Les Normes de la Famille ISO/IEC 27000 ISO/IEC 27000 Information security management systems — Overview and vocabulary ISO/IEC 27001, Information security management systems — Requirements ISO/IEC 27002, Code of practice for information security controls ISO/IEC 27003, Information security management system implementation guidance ISO/IEC 27004, Information security management — Measurement ISO/IEC 27005, Information security risk management ISO/IEC 27006, Requirements for bodies providing audit and certification of information security management systems ISO/IEC 27007, Guidelines for information security management systems auditing ISO/IEC TR 27008, Guidelines for auditors on information security controls ISO/IEC 27010, Information security management for inter-sector and inter-organizational communications ISO/IEC 27011, Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 ISO/IEC 27013, Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 ISO/IEC 27014, Governance of information security ISO/IEC TR 27015, Information security management guidelines for financial services ISO/IEC TR 27016, Information security management — Organizational economics Oct. 2016 Université de Jijel

Introduction au Concept de Système d’information L’Information Le Système d’information La sécurité de l’information Les Systèmes de Management L’Amélioration continue Le système de management de la sécurité de l’information Oct. 2016 Université de Jijel

L’information Donnée  Information  Connaissance  Compétence Toute données porteuse de sens En informatique, une information est un élément de connaissance susceptible d’être codé pour être conservé, traité ou communiqué L’information est un actif important de l’entreprise qui nécessite une protection adéquate Oct. 2016 Université de Jijel

L’information L’information se présente sur des : Papier Stockage électronique Transmission par voie postale ou électronique Diffusion audiovisuels La diffusion orale, échange téléphonique … Oct. 2016 Université de Jijel

Le Système d’information Structure organisationnelle et personnes liées au SI Technique : Processus et Technologies (Software, hardware et équipement de télécommunication) Oct. 2016 Université de Jijel

La sécurité de l’information Le volume de l’informations ne cesse d’augmenter et cette accélération est favorisée par les systèmes informatiques et la dématérialisation Les entreprises sont structurées en réseaux internes avec des connexions à des réseaux externes. De ce fait, leurs systèmes sont accessibles de l’extérieur pour leurs fournisseurs, Partenaires, clients, administrations,…. L’accessibilité par l’exterieur entraine la vulnérabilité. Des risque tel que le vol d’information, l’usurpation d’identité, l’intrusion et l’utilisation des ressources ou même la mise hors service des sytèmes de ressources informatiques sont donc bien présents La sécurité de l’information et l’un des cinq risques majeurs recensés pour l’entreprise La sécurité de l’information est un processus dont l’objectif et de protéger les données. Elle s’applique à tous les aspect de la sûreté, de la garantie et de la protection d’un information, quelle que soit sa forme. Oct. 2016 Université de Jijel

La sécurité de l’information La sécurité de l’information vise à protéger l’information contre une large gamme de menaces pour: Garantir la continuité de l’activité Maintenir la rentabilité de l’organisme Optimiser les retour sur investissement ROI Maintenir l’image de marque … La SI est assurée par la mise en œuvre des mesures adaptées regroupant des règles, des processus, des procédures des structures organisationnelles, des fonctions matérielles et logicielles. Oct. 2016 Université de Jijel

La sécurité de l’information Les menaces : Fraude Espionnage Attaque par déni de service Catastrophe naturelle Sabotage , vandalisme … Oct. 2016 Université de Jijel

La sécurité de l’information Les Critères fondamentaux de la sécurité de l’information sont: La confidentialité : la propriété selon laquelle l’information n’est pas divulguée à des personnes, entités ou processus non autorisés. L’intégrité : Propriété de l’exactitude et de la complétude des actifs. La disponibilité: la propriété d’être accessible et utilisable à la demande d’une entité. Non répudiation (traçabilité ou preuve): garantir la traçabilité pour tout contrôle ou administration de la preuve. Oct. 2016 Université de Jijel

Les Systèmes de Management Cadre de référence des lignes directrices, politique, procédures, processus et ressources associées visant à assurer la réalisation des objectifs d’une organisation. Plusieurs référentiels se basent sur le concept de système de management tel que : ISO 9001  la qualité ISO 14001  l’environnement ISO 20000  les services informatiques (fournisseurs de services) ISO 22000 sécurité alimentaire ISO 27001 sécurité de l’information OHSAS 18001 santé et sécurité de la personne Oct. 2016 Université de Jijel

L’Amélioration continue ISO 27001:2013 chap.10.2 « L’organisation doit continuellement améliorer la pertinence, l’adéquation et l’efficacité du système de management de la sécurité de l’information » La méthode d’amélioration continue n’est plus imposée contrairement à la version précédente 27001:2005 où le modèle imposé était le PDCA (shewhart ou deming) Oct. 2016 Université de Jijel

L’Amélioration continue Le modèle PDCA se caractérise : par son aspect cyclique et par le fait qu’il s’applique à l’échelle globale mais également les processus. Plan : préparer, définir, planifier (ce que l’on va réaliser) Do : Développer, réaliser, mettre en œuvre Check : contrôler, vérifier, rechercher l’écart entre ce qui a été planifié et ce qui a été réalisé Act : agir, ajuster, réagir pour régler tout écart constaté précédemment Oct. 2016 Université de Jijel

Le système de management de la sécurité de l’information Le SMSI est un système de management qui s’applique à la sécurité de l’information Le SMSI est destiné à choisir les mesures de sécurité pour assurer la protection des biens sensibles d’une entreprise dans un périmètre défini. Le SMSI est compatible avec d’autres systèmes de management. Oct. 2016 Université de Jijel

Présentation de la norme ISO/CEI 27001:2013 Contexte et objectifs de l’ ISO/CEI 27001:2013 Structure de la norme Présentation des chapitres 4,5,6,8,9 et 10 (PDCA) Présentation du chapitre 7 Oct. 2016 Université de Jijel

Contexte et objectifs de l’ ISO/CEI 27001:2013 Les normes de la famille ISO/CEI 27000 se placent dans deux groupes : Normes formulant des exigences : 27001 Normes émettant des recommandations :27002,27005, 27007, 27008. Ces normes sont des guides de bonnes pratiques pour assister l’implémentation ou l’audit du SMSI: Appréciation des risques Génération des indicateurs Implémentation des mesures de sécurité appropriées Audit Oct. 2016 Université de Jijel

Contexte et objectifs de l’ ISO/CEI 27001:2013 L’objectif général de la norme est de « spécifier les exigences relatives à l’établissement, à la mise en œuvre, à la mise à jour et à l’amélioration continue d’un SMSI » ISO/CEI 27001:2013 clause 1 Le déploiement des mesures de sécurité adaptées à l’organisation ( petite ou grande entreprise, commerciale, gouv., Administration, OMG,…)permet de protéger les actifs et donc d’apporter de la confiance aux parties prenantes. Oct. 2016 Université de Jijel

Structure de l’ ISO/CEI 27001:2013 Contexte de l’organisation 4 Leadership 5 Planification 6 Plan Amélioration 10 Act Support 7 Fonctionnement 8 DO Evaluation des performances 9 Check Oct. 2016 Université de Jijel

Structure de l’ ISO/CEI 27001:2013 l’ ISO/CEI 27001:2013 est décomposée en 7 chapitres principaux (4 à 10) obligatoires pour prétendre à une conformité à la norme. Chapitre 4: Contexte de l’organisation Périmètre du SMSI et domaine d’application Chapitre 5: Leadership Engagement de la direction et définition des responsabilités vis-à-vis du SMSI Chapitre 6: Planification Management des risques et définition des mesures de sécurité Oct. 2016 Université de Jijel

Structure de l’ ISO/CEI 27001:2013 Chapitre 7 : Ressources Ressources humaines et compétences, communication et gestion de la documentation Chapitre 8 : Fonctionnement Contrôle opérationnel, appréciation et traitement des risques Chapitre 9 : Evaluation des performances Audit interne, revue de direction, surveillance, mesures Chapitre 10 : Amélioration Traitement des non-conformités, actions correctives, amélioration continue Oct. 2016 Université de Jijel

Chapitre 4 à 6 L’établissement du SMSI (phase Plan): Périmètre Politique de sécurité de l’information Appréciation des risques Traitement des risques Mesures de sécurité et déclaration d’applicabilité Oct. 2016 Université de Jijel

Périmètre du SMSI Le périmètre de le domaine d’application doit: Tenir compte du contexte de l’entreprise Répondre aux attentes des parties prenantes Il est disponible sous forme d’information documentée, clair, il liste des sites, des entité organisationnelle, des activité concerné par le SMSI, les technologies utilisées,… Oct. 2016 Université de Jijel

Périmètre du SMSI Stratégies de définition : le périmètre peut être Orienté site Orienté entreprise Orienté service Alignement avec d’autre système de management Stratégie progressive (site Filiale  Groupe) Oct. 2016 Université de Jijel

La politique de sécurité Elle doit être établie par la direction ; Contenir les objectifs de sécurité ; Inclure un engagement de la direction pour répondre aux exigences relatives à la sécurité ; Et pour améliorer en continu le SMSI La politique est disponible sous forme d’information documentée, diffusée au sein de l’entreprise, à disposition des parties intéressées Oct. 2016 Université de Jijel

Procédure de gestion du risque Elle doit Compléter en amont la méthode d’analyse du risque; définir tous les aspects organisationnels relatifs à la gestion du risque; Définir les responsabilités Définir les niveaux de risque acceptable Oct. 2016 Université de Jijel