Sécurité des systèmes d’information ISO 27001- ITIL- Cobit Bonjour tout le monde Aujourd’hui nous avons le plaisir de vous présenter la recherche que nous avons effectué et qui porte sur la sécurité des systèmes d’information ou nous allons être amené à vous parler de l’ISO 27001 , ITIL , COBIT Présenté par : SEBKY Rym AIDOU Zakaria 02/04/2017
PLAN Introduction Qu’est ce qu’un système d’information Les enjeux de la sécurité d’information Les objectifs de la sécurité d’information Qu’est ce que l’ISO 27001 Qu’est ce que le COBIT Qu’est ce que l’ITIL Conclusion Pour cela nous allons suivre le plan suivant : Apres une breve introduction Nous allons définir le système d’information , ses enjeux , et ses objectifs Par la suite nous allons vous exposé c’est quoi l’ISO 27001 , COBIT Et avant de clôturer notre travail , nous allons vous parler de l’ITIL Commençons par le premier point … 02/04/2017
Qu’est ce qu’un système d’information Un système d'information (noté SI ou TI) représente l'ensemble des éléments participant à la gestion, au stockage, au traitement, au transport et à la diffusion de l'information au sein d'une organisation. On distingue généralement trois grandes catégories de systèmes, selon les types d'applications informatiques: les systèmes de conception : calcul numérique, conception assistée par ordinateur, .... ; les systèmes industriels ou embarqués, qui fonctionnent selon des techniques temps réel ; les systèmes d'information et de gestion, qui emploient des techniques de gestion. Un système d’information est l’ensemble des éléments qui rentrent dans les différentes activités d’un organisme On distingue généralement 3 catégories de systèmes et ceci en fonction des types d’applications informatiques : - systèmes de conception - systèmes industriels ou embarqués - systèmes d’information de gestion 02/04/2017
Les enjeux de la sécurité d’information Bases de données de l’E/se Brevets et méthodes … ACTIF L’information est un actif aussi important que les actifs liés aux systèmes de production Sécurité Garantir: la disponibilité L’intégrité La confidentialité Les japonais ont tendance à dire que l’information est le sang de l’entreprise. C’est-à-dire que la valeur de l’information augmente quand elle aide les collaborateurs à agir plus efficacement Ces informations englobent les bases de données de l’e/se , les brevets , les méthodes , les informations sur les clients, les connaissances et le savoir du personnel L’information est un actif aussi important que les actifs des systèmes de production C’est pour cela qu’on a besoin d’un Dispositif Global dont la mise en œuvre assure la disponibilité , l’intégrité et la confidentialité de l’information Et ceci nous emmènent aux objectifs de la SI qui sont : 02/04/2017
Les objectifs de la sécurité d’information Amélioration des performances Amélioration de la qualité du service Transparence et valorisation des TI(SI) Amélioration des contrôles Conformité aux lois et règlements Protéger l’INFORMATION de l’entreprise Et ceci nous amène aux objectifs de la SI qui sont : 02/04/2017
Norme pour la sécurité informatique Apres avoir défini le système d’information ses enjeux , ses objectifs Nous allons maintenant aborder la première norme qui est l’ISO 27001 02/04/2017
Qu’est ce qu’ISO 27001 ? C’est un standard international pour la gestion de la sécurité de l’information Un code de pratique pour la gestion de la sécurité de l’information Une base pour des relations contractuelles Une base pour la certification par une tierce partie Peut être certifié par un organisme de certification S’applique à tous les secteurs de l’industrie et à des organisations de toutes les tailles Ceci pour dire que l’ISO 27001 est un standard …. 02/04/2017
ISO 27001 Elle contient dix domaines spécifiques composés de 36 objectifs et de 127 mesures de sécurité. Voici un bref aperçu de chacun des domaines: 02/04/2017
ISO 27001 – Domaines d’intervention 1. Politique de sécurité - Procurer des directives et des conseils de gestion pour améliorer la sécurité des données. 2. Sécurité de l'organisation - Faciliter la gestion de la sécurité de l'information au sein de l'organisation. 3. Classification et contrôle des actifs - Répertorier les actifs et les protéger efficacement. 4. Sécurité du personnel - Réduire les risques d'erreur humaine, de vol, de fraude ou d'utilisation abusive des équipements. 5. Sécurité physique et environnementale - Empêcher la violation, la détérioration et la perturbation des installations et des données industrielles. Le 27001 intervient dans la politique de sécurité 02/04/2017
ISO 27001 – Domaines d’intervention 6. Gestion des télécommunications et des opérations - Garantir un fonctionnement sûr et adéquat des dispositifs de traitement de l'information. 7. Contrôle des accès - Contrôler l'accès aux données. 8. Développement et entretien des systèmes - Garantir que la sécurité est incorporée aux systèmes d'information. 9. Gestion de la continuité des opérations de l'entreprise - Réduire les effets des interruptions d'activité et protéger les processus essentiels à l'entreprise contre les pannes et les sinistres majeurs. 10. Conformité - Prévenir les manquements aux lois pénales ou civiles, aux obligations réglementaires ou contractuelles et aux exigences de sécurité. 02/04/2017
***ITIL EST ORIENTE MANAGEMENT des ^processus liés à la production , COBIT à la gouvernance du SI Et ce slide représente chaque domaine d’intervention et son affectation à la pyramide organisationnelle des fonctions Prenons par exemple la politique de sécurité ,elle agit sur le corps organisationnel Politique de sécurité - Procurer des directives et des conseils de gestion pour améliorer la sécurité des données. 02/04/2017
ISO 27001 – Modèle PDCA La norme ISO 27001 suit aussi le modèle PDCA (roue de DEMING) 02/04/2017
Information and related Technology Control Objectives Information and related Technology 02/04/2017
CobiT : Gouvernance, contrôle et audit de l’Information et des Technologies Associées C’est une structure de relations et de processus visant à diriger et contrôler l'entreprise pour qu'elle atteigne ses objectifs en générant de la valeur, tout en trouvant le bon équilibre entre les risques et les avantages des TI et de leurs processus. 02/04/2017
Principes du CobiT CobiT aide le management à établir des liens entre les risques métiers, les besoins de contrôle et les problématiques techniques. CobiT constitue un référentiel complet permettant de mettre sous contrôle l’ensemble des opérations liées aux systèmes d’information. CobiT est organisé en un ensemble de 34 objectifs de contrôle généraux regroupés en quatre grands domaines: Planification et organisation - PO Acquisition et mise en place - AMP Distribution et support - DS Surveillance - S 02/04/2017
Principes du CobiT 'Association Française de l'Audit et du Conseil Informatique. 02/04/2017
Objectifs du CobiT COBIT répond aux besoins: Incorpore les standards internationaux majeurs; est devenu le standard de facto pour le contrôle des TI; démarre à partir des requis d’affaires; est orienté « processus ». 'Association Française de l'Audit et du Conseil Informatique. 02/04/2017
Information Technology Infrastructure Library 02/04/2017
Présentation d’ITIL Ces derniers abordent les sujet suivant: Information Technology Infrastructure Library(ITIL) est un ensemble d'ouvrages recensant les bonnes pratiques ("best practices") pour la gestion des services informatiques (ITSM), édictées par l'Office public britannique du Commerce (OGC) Ces derniers abordent les sujet suivant: Comment organiser une production informatique ? Comment améliorer l'efficacité du système d'information ? Comment réduire les risques ? Comment augmenter la qualité des services informatiques ? 02/04/2017
Principes d’ITIL Il contient 8 guides : 6 sur les meilleurs pratique 1 sur l’utilisation d’ITIL 1 sur l’avenir des services IT Le cœur d’ITIL concerne la gestion de l’exécution des services informatiques . 02/04/2017
Principes d’ITIL Il couvre les 6 processus suivant : Gestion des configurations Gestion des changements Gestion des mises à jour Gestion des support Gestion des incidents Gestion des problèmes Les guides ITIL Présentent ce qu’il faut faire et non comment il faut faire, ni dans quel ordre. 02/04/2017
Principes d’ITIL (suite) Malgré l’existence de nombreux processus dans ITIL qui concourent à l’amélioration de la disponibilité du SI , la création d’un processus de management de la sécurité dans ITIL est assez récent (et encore peu utilisé ). ITIL n’est pas une norme internationale, c’est un guide de bonnes pratiques (basé sur les concepts de ISO13335 et ISO17799). 02/04/2017
Intérêt d’ITIL dans le management de la sécurité Les point forts de l’ITIL sont surtout sur les processus de support Prévoit une démarche claire dans la gestion d’incidents, la gestion de problèmes , et l’impact sur les processus de configuration. Dans les entreprises utilisatrices d’ITIL , c’est généralement autour des processus de support que se fait la capitalisation de bonnes pratiques Cependant , ITIL est trop général pour apporter une réelle assistance à la mise en œuvre d’une politique de sécurité sur une exploitation informatique et n’intègre pas une démarche structurée d’analyse des enjeux, de diagnostic de vulnérabilité et de préconisation de mesures de sécurité. ITIL EST ORIENTE MANAGEMENT des ^processus liés à la production , COBIT à la gouvernance du SI 02/04/2017
Guide de bonnes pratiques de gouvernance TI Orienté processus Forces CobiT Guide de bonnes pratiques de gouvernance TI Orienté processus Valorisation des TI Pratiques de contrôles Guide d’audit ISO Code de pratiques de sécurité de l’information Comment faire, quoi faire pour sécuriser les TI ITIL Orienté vers le service clientèle Mesurable Gestion des incidents Axé sur centre de service Faiblesses CobiT Quoi faire ,comment faire Général, approche de haut niveau ISO N’est pas de la gouvernance des TI, c’est un apport à la gouvernance Ne mesure pas la valeur des TI Strictement orienté sécurité TI ITIL Faible en sécurité N’est pas de la gouvernance des TI, c’est un apport à la gouvernance ITIL EST ORIENTE MANAGEMENT des ^processus liés à la production , COBIT à la gouvernance du SI 02/04/2017
Conclusion chaque guide a ses forces et faiblesses aucun d’eux n’est « l’OUTIL » universel Il faut optimiser l’outil en fonction des objectifs visés La force des guides est dans leurs «spécifités» et complémentarités. ITIL EST ORIENTE MANAGEMENT des ^processus liés à la production , COBIT à la gouvernance du SI 02/04/2017
Merci de votre attention ITIL EST ORIENTE MANAGEMENT des ^processus liés à la production , COBIT à la gouvernance du SI 02/04/2017
ITIL EST ORIENTE MANAGEMENT des ^processus liés à la production , COBIT à la gouvernance du SI 02/04/2017
ITIL EST ORIENTE MANAGEMENT des ^processus liés à la production , COBIT à la gouvernance du SI 02/04/2017
ITIL EST ORIENTE MANAGEMENT des ^processus liés à la production , COBIT à la gouvernance du SI 02/04/2017