Politique et management de la sécurité IUT Orsay Licence SRSI 1er semestre 2008
Politique de sécurité Le cadre de référence de la politique de sécurité La politique générale de sécurité Le schéma d’organisation de la fonction sécurité Les directives générales et les procédures Le reporting : les tableaux de bord La sensibilisation 2 IUT Orsay Licence SRSI 1er semestre 2008 2
La politique générale de sécurité Définitions et propriétés Elle représente la position de la Direction Générale sur la protection de son système d’information La PSSI vise à informer la maîtrise d’ouvrage et la maîtrise d'œuvre des enjeux tout en l'éclairant sur ses choix en terme de gestion des risques à susciter la confiance des utilisateurs et partenaires envers le système d'information. Elle est spécifique à un organisme, à sa culture d'entreprise, à ses objectifs et ses métiers Elle est établi en conformité avec : Les contraintes sectorielles La législation (textes légaux) 3 IUT Orsay Licence SRSI 1er semestre 2008 3
La politique générale de sécurité Définitions et propriétés Elle est précédée par une analyse des risques Elle est au cœur de la norme ISO 27002 et est un préalable indispensable à l'obtention de la certification 27001 Support important de sensibilisation, elle doit être diffusée, avec tous ses documents annexes, à tout les acteurs au sein de l'organisme Elle doit évoluer dans le temps au sein du système de gestion de la sécurité, au travers de mesures et d'améliorations continues 4 IUT Orsay Licence SRSI 1er semestre 2008 4
La politique générale de sécurité La charte de sécurité Elle est émise sous la signature du dirigeant de la structure Elle présente les grands concepts de la sécurité Elle explicite les enjeux de la sécurité pour la structure Elle fixe les objectifs en termes de sécurité de l’information Elle détaille pour chaque acteur les droits et les devoirs vis-à-vis de la sécurité Elle est diffusée « personnellement » à chaque collaborateur 5 IUT Orsay Licence SRSI 1er semestre 2008 5
La politique générale de sécurité La charte de sécurité pour les tiers Elle présente les critères communs de sécurité s'appliquant à tous type de tiers SSII en régie ou au forfait Sociétés de maintenance Fournisseurs disposant d'accès en télémaintenance Partenaires accédant à certaines parties du SI Elle pourra être annexée au contrat signé avec le tiers. Des dispositions particulières à chaque tiers pourront être ajoutés utilement dans le document 6 IUT Orsay Licence SRSI 1er semestre 2008 6
La politique générale de sécurité La charte utilisateur du S.I. Elle présente les objectifs suivants : Définition claire des droits et devoirs des utilisateurs Informer des comportements à risque devant être évités Informer sur la dimension juridique Elle respecte les règles de bases suivantes : Transparence de la part de l'organisme sur les moyens en place Discussion avec le CE, le CHSCT et les DP Respect des libertés individuelles Sensibilisation et formation à la sécurité de l'information et aux outils Elle précise les sanctions encourues 7 IUT Orsay Licence SRSI 1er semestre 2008 7
La politique générale de sécurité L’engagement de confidentialité Il précise : Les conditions d’accès aux informations Les conditions de conservation, de transport et de diffusion des informations de l’entité Il détaille les sanctions en cas de non respect Il s’adresse À tous les collaborateurs de l’entité À toute personne devant accéder à des informations quelque soit son lien avec l’entité et la nature de ses actions Il est obligatoirement signé par la personne 8 IUT Orsay Licence SRSI 1er semestre 2008 8
La politique générale de sécurité Le schéma d’organisation de la fonction sécurité Il recense les missions / tâches liées à la sécurité Il pré-positionne les rôles et responsabilités des différents acteurs à l’égard des processus sécuritaires types, notamment en matière de : Cadre général et pilotage de la sécurité; Mise en œuvre opérationnelle de la sécurité; Prise en compte de la sécurité dans les projets; Identification et évaluation des risques liés au système d’information; Audits de sécurité du système d’information; 9 IUT Orsay Licence SRSI 1er semestre 2008 9
Comité Directeur Direction Générale Inspection Générale Comité Risques Comité Directeur Division Risk Management Direction Générale Audit Interrelations fonctionnelles Commission Sécurité des Systèmes d’Information (COSSI) Responsable Sécurité Systèmes d’Information (RSSI) Maître d’ouvrage de la gestion des risques S.I. DSI Directions opérationnelles Métiers Responsable Sécurité Informatique (RSI) Maître d’œuvre de la maîtrise des risques informatiques et télécoms Correspondant. Sécurité Systèmes d’Information (CSSI) Instance d’orientation & d’arbitrage Maîtrise d’ouvrage SSI Maîtrise d’œuvre SSI Instance de pilotage et de coordination Instance d’audit et de contrôle Instance d’enquêtes Études & Développements Architectes & Experts Exploitants & Administrateurs Interrelations fonctionnelles
La politique générale de sécurité Directives générales de sécurité (1/5) Elles représentent le référentiel de sécurité de l’entreprise Elles regroupent par grands domaines les règles de sécurité à respecter Elles sont en ligne avec les enjeux, risques majeurs et préoccupations prioritaires soulignés au sein du document de politique générale Elles tiennent compte des principes sécuritaires déjà mis en œuvre, que ce soit au sein des infrastructures informatiques et de télécommunication proprement dites, comme au sein des processus métier Elles sont réalisées à partir d’entretiens avec les différents responsables techniques et fonctionnels de l’entreprise 11 IUT Orsay Licence SRSI 1er semestre 2008 11
La politique générale de sécurité Directives générales de sécurité (2/5) Origine Normes et standards (ISO 27002, IETF,…) Bonne pratiques de sécurité (CoBit) Recommandations (Bâle II, Commission bancaire,…) Expertises Natures 15 directives à dominante informatique (réseaux, postes de travail, Internet, messagerie électronique, téléphonie,…) 6 directives à dominantes non informatique (classification, continuité des activités, ressources humaines,…) 12 IUT Orsay Licence SRSI 1er semestre 2008 12
La politique générale de sécurité Directives générales de sécurité (3/5) Elles sont mises à jours régulièrement pour tenir compte des évolutions : technologiques (nouvel OS, nouveau langage de programmation,…) d’architecture physique ou logicielle Elles sont diffusées largement et d’un accès aisé Enoncé de la règle Niveau de sécurité (S, R, M) Acteurs impliqués Les dispositifs de filtrage, de commutation et de routage doivent être configurés pour garantir l’acheminement des seuls flux autorisés aux seuls destinataires devant les recevoir. S Administrateur dispositifs de sécurité 13 IUT Orsay Licence SRSI 1er semestre 2008 13
La politique générale de sécurité Directives générales de sécurité (4/5) Sécurité Standard (S) Il s’agit d’un principe ou d’une règle dont la mise en œuvre est nécessaire, quelle que soit la criticité de la ressource sur laquelle il/elle est appliqué(e). Le niveau de sécurité standard correspond à la mise en œuvre de dispositifs relevant avant tout de « bonnes pratiques sécuritaires », dans le respect des principes et objectifs définis dans la Politique de Sécurité. Sécurité Renforcée (R) Il s’agit d’un principe ou d’une règle dont la mise en œuvre est souhaitable lorsque l'évaluation des menaces et des enjeux peut amener les Maîtrises d’Ouvrage à demander la mise en place de moyens de sécurité complémentaires sous la forme de dispositifs plus robustes. Sécurité Maximale (M) Il s’agit d’un principe ou d’une règle dont la mise en œuvre est a priori recommandée lorsque des situations spécifiques imposent la mise en œuvre de solutions « sur mesure » (non nécessairement du marché ou standard). 14 IUT Orsay Licence SRSI 1er semestre 2008 14
La politique générale de sécurité Directives générales de sécurité (5/5) Les acteurs Maitrise d’ouvrage RSSI : Responsable de la Sécurité des Systèmes d’Information, Propriétaire d’information, Responsable métier / hiérarchique, Utilisateur Maitrise d’œuvre Equipe développements, Architecte / expert sécurité SI, Administrateur droits d’accès, Administrateur dispositifs de sécurité, Equipe exploitation, Responsable surveillance sécurité Les fonctions supports Ressources humaines (formation, contrats de travail, …), Juridique, Communication, etc. … Les fonctions de contrôle Audit, Inspection, Contrôle des risques, etc. … 15 IUT Orsay Licence SRSI 1er semestre 2008 15
La politique générale de sécurité Procédures de sécurité Décrivent une suite logique d'actions visant à atteindre un objectif Rubriques d’une procédure L’élément déclenchant, Le responsable Les acteurs La description des tâches unitaires Les livrables attendus pour chaque tâche Les conditions de contrôle et de conservation des traces 16 IUT Orsay Licence SRSI 1er semestre 2008 16
Le reporting : Le tableau de bord C’est un outil de synthèse et de visualisation de la politique de sécurité mise en œuvre: Au niveau stratégique. Il permet: Le suivi de l’application de la politique de sécurité De se positionner vis-à-vis des autres structures De préparer les choix et les arbitrages Au niveau du pilotage. Il permet : Le contrôle de la réalisation L’amélioration de la qualité Au niveau opérationnel. Il permet : De mesurer la production et les efforts entrepris pour atteindre les objectifs De motiver et dynamiser les équipes 17 IUT Orsay Licence SRSI 1er semestre 2008 17
Le reporting : Le tableau de bord Il est constitué de différents indicateurs sélectionnés à partir des objectifs validés dans la politique de sécurité. Les formats des indicateurs : Un dénombrement, Un degré mesuré ou estimé sur une échelle de valeur, Un taux, Un ratio, Une note estimée en fonction d’une grille de notation… 18 IUT Orsay Licence SRSI 1er semestre 2008 18
Le reporting : Le tableau de bord Ces indicateurs ont les qualités suivantes : Facilement quantifiables (construit à partir d’informations ou de processus générant des informations quantifiables) afin de permettre des comparaisons (entre systèmes ou entre périodes). Il s’agit le plus souvent de pourcentage, de taux, de ratio, de moyenne et/ou de nombres « bruts »; Les informations nécessaires doivent être faciles à obtenir et/ou collecter; s’appuyer sur des processus « stables » et aisément « reproductibles » ; permettre la mesure des évolutions suite à des actions correctives ; être fiable sur la durée et autoriser une analyse des écarts ; 19 IUT Orsay Licence SRSI 1er semestre 2008 19
Le reporting : Le tableau de bord Un indicateur possède les caractéristiques suivantes : Un indicateur est une donnée objective qui permet d’apprécier une situation, du strict point de vue quantitatif. un référentiel (la performance à atteindre ou à respecter), un seuil d’alerte (niveau à partir duquel des actions correctrices doivent être déclenchées), des points de mesure (les informations élémentaires à collecter), une valeur (l’expression du constat : nombre, pourcentage, différence...), une fréquence de calcul, une fréquence de diffusion, un responsable nommément désigné. 20 IUT Orsay Licence SRSI 1er semestre 2008 20
Le reporting : Le tableau de bord Proportion de traces contrôlées o Calcul : Volume des traces contrôlées x 100 / volume des traces o Valeur cible : 100% Évolution du nombre de comptes inutilisés o Calcul : Nombre de comptes inutilisés o Valeur cible : 0 Renouvellement des sensibilisations et informations des personnels techniques o Calcul : Somme des délais écoulés depuis la dernière sensibilisation ou information de chaque personnel technique / nombre de personnels techniques o Valeur seuil : délai moyen maximal à fixer 21 IUT Orsay Licence SRSI 1er semestre 2008 21
La sensibilisation C’est axe primordial da la politique de sécurité Elle concerne tous les collaborateurs de l’entreprise quelque soit le métier exercé et le niveau de responsabilité Elle doit être adaptée : Au profil des collaborateurs Au métier exercé dans l’entreprise Elle peut porter sur un axe particulier de la sécurité et accompagner la mise en œuvre de pratiques nouvelles Lutte anti virale Renforcement de l’authentification 22 IUT Orsay Licence SRSI 1er semestre 2008 22
La sensibilisation Elle n’est pas « unique » Elle peut prendre une forme ludique (quizz, concours,…) Elle rappelle les obligations professionnelles et légales Elle traite de cas concrets et d’évènements réels Elle prend des formes diverses Interventions des dirigeants lors de manifestation Stage d’accueil Journal d’entreprise et campagne d’affichage dans les locaux Messages sur l’Intranet ou à l’ouverture de session Jeux 23 IUT Orsay Licence SRSI 1er semestre 2008 23