Sécurité des systèmes d’information

Slides:



Advertisements
Présentations similaires
Sécurité des systèmes d’information
Advertisements

Management des entreprises
Systèmes de responsabilité et d’intégrité SÉMINAIRE DE FORMATION WBI/CABRI/SA PFM Pretoria, Afrique du Sud Du 18 au 20 juin 2007.
13. Diriger : finaliser, animer et contrôler 1. La décision dans la direction de l’organisation 1.1 En quoi la direction repose-t-elle sur la décision.
de cotation des entreprises
« Le bilan accessible à tous » L’orientation au cœur des dispositifs de sécurisation des parcours Présentation CEP.
Évaluation de la politique de l'eau
LA SURETE DANS L' ENTREPRISE Intervention du
Journée Régionale Grand-Est Qualité Sécurité des soins (ARS/HAS)
LOGICIELS DE GESTION COMPTABLES
Thème : Rôle des contrôleurs publics dans la gestion des risques
Analyse du contexte par le modèle SWOT
Equipe pédagogique: Comptabilité générale
Les parties intéressées
Cours à option RH HR Practicies
Vie Associative et Evènementiel
L’Entreprise face aux Pratiques du Développement Durable
ORGANISATION ET PLANIFICATION INSTITUTIONNELLES
RÉALISÉ PAR : MR. EL HASSANI EL ALAOUI OMAR ENCADRÉ PAR : MR. BENBELLA MOHAMMED Rapport de stage 1.
6.3 Les remontées d’information Textes de référence Norme AFNOR NF X § 4.3. L’évaluation de la qualité de service perçue par le client.
BILAN D’ACTIVITES SEMESTRIEL 2014
ORGANISATION INCENDIE
Chantier industriel Encaisseuse semi-automatique de chez CERMEX
BTS PILOTAGE de PROCÉDÉS
L’ organization comme fonction de gestion
Vers une nouvelle gouvernance de la donnée personnelle
Chiffrement de bout en bout
RTES 2 JUILLET 2015 schéma de promotion des achats responsables
Brief de présentation.
Evaluer les politiques publiques
Normes de qualité et de management.
le plan de continuité d’activité ( le pca )
Green IT & Cloud L’empreinte écologique de vos actions numériques & règles juridiques. Désiré BRUCKMANN.
Les documents normatifs Les documents français : - documents normatifs NF : norme française Pr NF : norme en projet - documents d’information FD : fascicule.
Et la vie lycéenne Vous présentent.
La Balanced Scorecard Présentépar : BOUCHE NGOMDJOM Joël Matricule : 13C019 Sous la supervision de : ING: STIMI.
Ecole supérieure privée d’ingénierie et de technologie Année Universitaire Projet: EFQM Réalisé Par: kbada Haythem Bchir Ahmed Znaidi Maher.
Et la vie lycéenne Vous présentent.
L’Audit Social Realisés par: Anass MOUJANE Omar SABER
CMMI Capability Maturity Model Integration « Importance de CMMI dans la gouvernance IT basée sur COBIT »
1 La gestion par activités (ABM) pour mieux gérer les coûts et les processus dans l’organisation. S o l u t i o n s `
P.Baracchini, La norme international OHSAS et la directive MSST Gérer la santé et la sécurité au travail.
le système national de santé
CRIL TECHNOLOGY - SUPINFO
GOUVERNANCE DES SYSTEMES D’INFORMATION IS governance.
Architecte Informatique Numérique et Bureautique des Enterprises passerelle TECHNOLOGIE DE L’INFORMATION.
22 septembre 2014 NF EN ISO novembre 2011 Systèmes de management de l’énergie : Exigences et recommandations de mise en œuvre.
Gestion des Ressources Humaines Approfondie Année universitaire :
IDCE – BBA – 1 ère année Module 3 : Techniques comptables et financières Année 2008/2009 COMPTABILITE GENERALE CHAPITRE 1 : INTRODUCTION A LA COMPTABILITE.
SYSTEME DE MANAGEMENT DE LA QUALITE : LA NOUVELLE NORME ISO 9001 version 2015.
République Algérienne Démocratique et Populaire Ministère de l'enseignement supérieur et de la recherche scientifique Université Mustapha Stambouli de.
LES CONTENUS DISCIPLINAIRES
La BOURSE aux idées aux besoins aux expertises.
Le département QIF Qualité, Innovation, Fiabilité
Gestion sociale et conditions de travail. Plan o Définition de la gestion sociale o Les objectifs de la gestion sociale o Définition des conditions de.
Nicolas BRESSAND SIT MAZAGAN 11/05/2016
La collecte d’informations Présenté par: Boudries. S.
Qu'est-ce que l'audit de TI?
Faire sa monographie : Mode d’emploi et conseils pratiques
Schéma Définitions Fonctions vitales Organigramme Caractéristiques
Service de consultation en ligne
1. Plan Introduction Définition Les rôles du sourceur Les avantages de sourcing Les contraintes de sourcing 5 Les étapes pour créer une stratégie.
ADMINISTRATION NUMERIQUE
Année Universitaire Projet de migration vers la norme ISO 9001 V 2015 RAPPORT DE STAGE en vue de l ’ obtention de la Licence Appliquée.
Les documents normatifs Les documents français : - documents normatifs NF : norme française Pr NF : norme en projet - documents d’information FD : fascicule.
Pourquoi la mise en place d’un système de management de la Qualité, de l’Environnement, de la Santé et de la Sécurité (normes ISO 9001 – ISO – OHSAS.
Contrôle interne : Les chantiers de la Direction Juridique
CR-GR-HSE-412 Gestion des parties prenantes et impacts locaux
1 Système de Management Intégré Professeur : Préparé par : Mme. El AOUFIR KHOUAKHI Daoud Mme. El AOUFIR KHOUAKHI Daoud MEGDOUBI Zouhair MEGDOUBI Zouhair.
Transcription de la présentation:

Sécurité des systèmes d’information Présenté par : M Khalid Safir Ministère des finances(Maroc) 21 Juin 2006

Plan Enjeux de la sécurité Gouvernance SI et problématique du  « Risk Management » Référentiels et Méthodologies Sécurité du SI à la TGR

Les enjeux de la sécurité de l’information

Les enjeux de la sécurité de l’information « Les systèmes d’information font désormais partie intégrante du fonctionnement des administrations publiques, de l’activité des entreprises, et du mode de vie des citoyens. Les services qu’ils assurent nous sont tout aussi indispensables que l’approvisionnement en eau ou en électricité. Pour l’Etat il s’agit d’un enjeu de souveraineté nationale. Il a en effet la responsabilité de garantir la sécurité de ses propres systèmes d’information, la continuité de fonctionnement des institutions et des infrastructures vitales pour les activités socioéconomiques du pays et la protection des entreprises et des citoyens. De leur côté, les entreprises doivent protéger de la concurrence et de la malveillance leur système d’information qui irrigue l’ensemble de leur patrimoine (propriété intellectuelle et savoir faire) et porte leur stratégie de développement. »

Les enjeux de la sécurité de l’information Limiter les Risques Conformité Créer la valeur Productivité

Les enjeux de la sécurité de l’information … et les menaces évoluent Les menaces existent … L’évolution des menaces est liée à la transformation des systèmes d’information (et des réglementations). Elle concerne essentiellement la malveillance (menaces d’origine humaine et intentionnelle). Quatre profils sont généralement définis : Humaine Intentionnelle Non intentionnelle Externe Interne Personnel insuffisamment qualifié Erreur humaine Piratage Sabotage Vol Matérielle Panne matériel Coupure électrique Incendie Dysfonctionnement matériel ou logiciel Naturelle Activité géologique Conditions météorologiques Ludique (sans profit) Cupide (pouvoir, argent) Terroriste (idéologique) Stratégique (économique, politique)

Attack Sophistication Les enjeux de la sécurité de l’information Sophistication des attaques et compétences des attaquants depuis 20 ans email propagation of malicious code widespread attacks using NNTP to distribute attack widespread attacks on DNS infrastructure executable code attacks (against browsers) automated widespread attacks GUI intruder tools hijacking sessions Internet social engineering attacks packet spoofing automated probes/scans widespread denial-of-service attacks techniques to analyze code for vulnerabilities without source code DDoS attacks increase in worms sophisticated command & control anti-forensic techniques home users targeted distributed attack tools increase in wide-scale Trojan horse distribution Windows-based remote controllable Trojans (Back Orifice) Intruder Knowledge Attack Sophistication “stealth”/advanced scanning techniques 1990 2003 Source: CERT Carnegie Mellon University

Gouvernance SI et problématique du « Risk Management »

Gouvernance SI et problématique du « Risk Management » De la gouvernance d’entreprise à la gouvernance de la sécurité de l’information: A la lumière de l’évolution, aux cours de ces dernières années, de l’environnement économique dans lequel évolue les entreprises, la gouvernance d’entreprise est devenue un équilibre entre performance et conformité. Dès lors, la gouvernance de la sécurité de l’information, dans le sillage de la gouvernance des système d’information, soutient à la fois la gouvernance institutionnelle en permettant de maîtriser et réduire les risques et la gouvernance d’activité en créant de la valeur et améliorant la performance.

Gouvernance SI et problématique du « Risk Management » La fonction sécurité se doit alors de prendre une nouvelle dimension, dépassant la simple «fonction de spécialistes». Il ne s’agit plus seulement de s’équiper de solutions de sécurité, mais de développer une véritable stratégie de sécurité à même : de supporter les enjeux métiers de l’entreprise, qui se traduisent principalement par l’ouverture de son système d’information à l’ensemble de ses partenaires et par les nouveaux modes de communication (mobilité), de répondre aux contraintes légales et réglementaires (SOX, loi sur la sécurité financière, protection des données personnelles …), de prendre en compte l’évolution de la complexité des menaces associée à l’évolution des technologies supportant son système d’information, et bien sûr de protéger son patrimoine informationnel et son infrastructure technique, au meilleur coût et en respectant la culture de l’entreprise. La gouvernance de la sécurité de l’information devient un processus de management fondée sur la gestion du risque et la mise en œuvre de bonnes pratiques.

Gouvernance SI et problématique du « Risk Management » La gouvernance de la sécurité de l’information devient un processus de management fondé sur la gestion des risques La gestion des risques doit permettre d’identifier les événements de sécurité susceptibles de porter atteinte aux objectifs métiers de l’entreprise.

Gouvernance SI et problématique du « Risk Management » De la gouvernance aux opérations … de la responsabilité stratégique à la responsabilité opérationnelle Gouvernance Architecture et standards Politiques et Directives Sensibilisation Surveillance et conformité Définition et implémentation des systèmes Définition et implémentation des technologies Opérations Gestion du risques Périmètre Opérationnel Périmètre Stratégique

Gouvernance SI et problématique du « Risk Management » Les fondations du cadre de gestion de la sécurité Pilotage et Organisation Analyse de risques Etudes Plan Mise en œuvre opérationnelle Etablir le cadre général et Identifier les risques Do Modéliser et Implémenter Act Améliorer Etudes Définition de standards techniques Mise en œuvre opérationnelle Sensibilisation Contrôler et Superviser Check Audit et contrôle Veille

Référentiels et méthodologies La norme ISO 17799:2005 La norme ISO 27001 ITIL COBIT Méthodes analyse des risques EBIOS MARION MEHARI, OCTAVE/USA ISO 13335

Référentiels COBIT En synthèse: COBIT sera utilisé dans le cadre de l’amélioration globale des processus IT (métrique) COBIT et ISO 17799 peuvent être utilisés dans le cadre d’un audit afin de déterminer les vulnérabilités et le niveau de sécurité. ITIL peut être utilisé pour améliorer les processus opérationnels IT ainsi que l’ISO 17799 / ISO 27001 dans une certaine mesure pour les processus « sécurité » et la sélection de contrôles.

Référentiels ISO 17799:2005

Thèmes liés à la sécurité en fonction des processus ITIL : Référentiels ITIL: Information Technology Infrastructure Library Thèmes liés à la sécurité en fonction des processus ITIL : Access Protection Provisioning Compliance Authentication SLA Management, Service Desk, Availability Management, Financial Management Incident Management, Service Desk, Problem Management, Configuration Management, Change Management, Continuity Management Configuration Management, SLA Management, Change Management, Service Desk, Release Management, Financial Mgmt Service Desk, SLA Management, Financial Management Continuity Management, SLA Management, Change Management, Release Management

Méthodologies de réduction des risques Gérer les risques de sécurité : analyser et évaluer les menaces, impacts et vulnérabilités auxquels les actifs informationnels sont exposés et la probabilité de leur survenance. Déterminer les mesures de sécurité pouvant être implantées pour réduire les risques et leur impact à un coût acceptable.

Référentiels et méthodologies EBIOS: Méthodologie d’identification des menaces et des vulnérabilités, analyse de risques, spécification des exigences de la sécurité MARION: MEHARI: MEthode harmonisée d’Analyse des Risques OCTAVE/USA : ISO 13335 :

Sécurité SI à la TGR Référentiel Sécurité du Ministère des Finances (CSSI : Cadre Stratégique des Systèmes d’Information) Audit DRPP en l’an 2000 (plan de continuité) Audit dans le cadre du SDSIC Projet audit sécurité globale TGR « SI, Biens et Personnes »

Sécurité SI à la TGR Pourquoi sécuriser le SI? Porter atteinte à l’intégrité des informations de la TGR L’indisponibilité des services offerts par la TGR L’intégrité des données gérées par la TGR : - Virements entre comptables - Centralisation comptables L’intégrité des échanges avec les partenaires :  Ministère des finances ( DB, DGI, ADII, DTFE..); Ordonnateurs  et sous ordonnateurs ( Ministères, collectivités locales) Institutionnels (Banque centrale,Poste du Maroc,CDG…) Banques et établissements de crédit. Le paiement des commandes de l’Etat et des collectivités locales ; La paie du personnel de l’Etat ; Le recouvrement des impôts La gestion des comptes de dépôt au Trésor Dette extérieure et intérieure ….disponibilité de l’information ….intégrité de l’information. Menaces Divulgation des informations confidentielles. Incapacité de réunir les éléments probants et de disposer des preuves. Divulgation des données confidentielles : Rémunération du personnel de l’Etat; Impôts des redevables; Les dépôts de la clientèle. Audit et inspection Contrôle interne ….. Divulgation d’informations sensibles : Budget de certains départements ; ADN.. ...Confidentialité de l’information …Traçabilité de l’information

Sécurité SI à la TGR CSI Norme: BS 7799 Recommandations: 1. Politique de sécurité 2. Sécurité de l’organisation Comité de pilotage : Responsable de la Sécurité du Système d’Information (RSSI) : Correspondants sécurité : 3. Classification et contrôle des actifs 4. Sécurité du personnel 5. Sécurité physique et sécurité de l’environnement 6. Protection du réseau 7. Contrôle des accès 8. Développement et maintenance des applications 9. Gestion de la continuité des activités 10. Conformité

Sécurité SI à la TGR sa valeur, est plus au moins sensible elle est exposée à des menaces naturelles et humaines L ’association sensibilité/ risque peut provoquer sinistre ayant un impact +/- fort auquel on a besoin de répondre par des mesures de prévention et réaction l'association de ces éléments constitue le risque l'information est une part essentielle du patrimoine TGR elle est supportée par un système qui présente des vulnérabilités

Sécurité SI à la TGR Audit dans le cadre du SDSIC La rosace de sécurité:

Sécurité SI à la TGR Audit dans le cadre du SDSIC Recommandations : A très court terme Nommer un responsable de la sécurité du système d’information de la Trésorerie Générale Sensibiliser l’ensemble du management de la Trésorerie Générale à la sécurité. A court terme Formaliser la mission (rôle et responsabilités) des propriétaires.Identifier les propriétaires de toutes les applications. Définir les critères de classification des informations.Former les propriétaires d’applications à leurs missions. Formaliser les procédures opérationnelles d’intégration et de contrôle des spécifications de sécurité dans les applications des projets schéma directeur. Lancer l’étude de la vitalité des applications de la Trésorerie Générale.Définir un plan glissant sur 2 ans pour la mise en œuvre des recommandations.

Sécurité SI à la TGR Projet audit sécurité globale de la TGR: Avril Mai Juin Juillet Août Septembre … Phase 1 : Audit de sécurité Prise de connaissance Audit SI Audit Biens Audit Personnes Recommandations et plan d’action Phase 2 Organisation de la sécurité Phase 3 Politique de sécurité Phase 4 Assistance à Maîtrise d’Ouvrage

Sécurité SI à la TGR Projet audit sécurité globale de la TGR: Référentiel: BS7799 Méthode d’analyse des risques: Ebios

Merci pour Votre attention