Politique et management de la sécurité

Slides:



Advertisements
Présentations similaires
Découvrez IXerp France. Une société fondée sur des valeurs Lhumain au centre du dispositif dentreprise Proximité de lencadrement Missions tenant compte.
Advertisements

La démarche qualité.
PROGRAMME TERMINALE CGRH PARTIE C
La charte d'usage des TIC : une obligation pour les EPLE
Les entretiens dans l’entreprise
des Structures de Santé
Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.
INDICATEURS STATISTIQUES ET DEVELOPPEMENT TECHNOLOGIQUE
Manuel Qualité, Structure et Contenus – optionnel
EXAMEN ET GESTION DE PROJET INDUSTRIEL
de Modernisation des Secteurs Publics : L’expérience marocaine
NF Bâtiments Tertiaires – Démarche HQE®
Sommaire Introduction Les politiques de sécurité
LA QUALITE LOGICIELLE Plan du cours Le Plan Qualité 1 h ½
Organisation et Renforcement de l'Action Préventive
LE CONTRAT CADRE DE SERVICE
Pôle 3 - Gestion administrative interne
Stratégie de formation
D2 : Sécurité de l'information et des systèmes d'information
Thierry Sobanski – HEI Lille
La politique de Sécurité
Démarche de Projet D’après la norme X50-106, un projet est une démarche spécifique qui permet de structurer méthodiquement et progressivement une réalité.
L’utilisation des Normes ISO 9001 et ISO 9004 dans la démarche qualité
D ISO 9000 Étapes pour l’implantation d’un système qualité dans une organisation.
L’Ingénierie de la Formation Continue Session I : Méthodologie d’élaboration d’un plan de Formation
La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.
Journée Technique Régionale PSSI
Certifications Hanen KALLEL
Organisation métier contrôleur de gestion usine
Control des objectifs des technologies de l’information COBIT
Gestion des risques Contrôle Interne
Mettre en place le dispositif d’évaluation certificative
Altaïr Conseil Maîtriser l'information stratégique Sécurisé
Les exigences de la norme ISO 14001
Guide de gestion environnementale dans l’entreprise industrielle
Cadre de référence pour la prévention des usages dalcool et de drogues en milieu professionnel adopté le 15 mai 2012 à lissue de la conférence internationale.
Docteur François-André ALLAERT Centre Européen de Normalisation
Page 1 / Titre / Auteur / Date / Confidentiel D? LA DEMARCHE COLLEGES METIER.
Processus d’éthique des affaires
Une approche documentaire de la diffusion sur Internet Journée WebÉducation Martin Sévigny / Irosoft / 14 mai 2009
SEMINAIRE DE CONTACT novembre 2008 Outils de gestion de projet.
Direction générale de la santé Mo VII-2-1 Des résultats évalués : vers un tableau de bord de la santé en France Principes de choix des objectifs nationaux.
EP1 – Première situation d’évaluation
Pôle 3 - Gestion administrative interne
L’évaluation des compétences Exemple Gestion & Finance
ANALYSE METHODE & OUTILS
INTERNET DAY Parlement 1 Les mineurs sur Internet: un problème majeur ! JEAN-PHILIPPE DUCART Vice-président de l’Observatoire Porte-parole de.
1HK, Les défis posés aux organes dirigeants des institutions de prévoyance H. Konrad, lic. iur., avocat Administrateur de l’ASIP.
Rapprochement des référentiels d’économie droit BTS Assistant de Gestion PME-PMI BAC PRO « Gestion-Administration »
Le management de l'IVVQ Processus techniques IVVQ
LE PLAN QUALITE Utilité du plan qualité :
PRESENTATION SYSTEME QUALITE IM Projet
NOTE DE CADRAGE PRIORITES DE FINANCEMENT 2012
La maîtrise des risques dans les EPLE : Un outil de pilotage et de management 09 septembre 2014.
Organigramme projeté au 1er janvier 2009 :
Type de mission Les missions d'audit se caractérisent :
Management de la qualité
Hygiène Sécurité Conditions de Travail AVSC Nord de France
Ministère de la Fonction Publique et de la Modernisation de l’Administration Rencontre mensuelle avec les responsables informatiques des départements ministériels.
L’Amélioration continue
Cours de Gestion d’entreprise
Offre de service Sécurité des systèmes d’information
1 Diffusion des bonnes pratiques de prise en compte du développement durable dans le bâtiment Questionnements du thème « Gouvernance » Laurent DELEERSNYDER.
Le rôle du RSSI © Claude Maury
Martine Miny - MPInstitut - Référentiels et métiers de management de projet - Mastère IESTO - 9 février 2004 Référentiels et métiers de management de projet.
Société de l’information et régions Politique régionale 1 Les stratégies régionales pour la société de l ’information Jean-Bernard Benhaiem,
PROCESSUS D’AUDIT PLANIFICATION DES AUDITS
1 41Qualité d’un logiciel Référentiel Gestion Comptable.
CONTENU DE L ’ISO Définition métrologie.
Le contrôle de gestion dans le secteur public
Transcription de la présentation:

Politique et management de la sécurité IUT Orsay Licence SRSI 1er semestre 2008

Politique de sécurité Le cadre de référence de la politique de sécurité La politique générale de sécurité Le schéma d’organisation de la fonction sécurité Les directives générales et les procédures Le reporting : les tableaux de bord La sensibilisation 2 IUT Orsay Licence SRSI 1er semestre 2008 2

La politique générale de sécurité Définitions et propriétés Elle représente la position de la Direction Générale sur la protection de son système d’information La PSSI vise à informer la maîtrise d’ouvrage et la maîtrise d'œuvre des enjeux tout en l'éclairant sur ses choix en terme de gestion des risques à susciter la confiance des utilisateurs et partenaires envers le système d'information. Elle est spécifique à un organisme, à sa culture d'entreprise, à ses objectifs et ses métiers Elle est établi en conformité avec : Les contraintes sectorielles La législation (textes légaux) 3 IUT Orsay Licence SRSI 1er semestre 2008 3

La politique générale de sécurité Définitions et propriétés Elle est précédée par une analyse des risques Elle est au cœur de la norme ISO 27002 et est un préalable indispensable à l'obtention de la certification 27001 Support important de sensibilisation, elle doit être diffusée, avec tous ses documents annexes, à tout les acteurs au sein de l'organisme Elle doit évoluer dans le temps au sein du système de gestion de la sécurité, au travers de mesures et d'améliorations continues 4 IUT Orsay Licence SRSI 1er semestre 2008 4

La politique générale de sécurité La charte de sécurité Elle est émise sous la signature du dirigeant de la structure Elle présente les grands concepts de la sécurité Elle explicite les enjeux de la sécurité pour la structure Elle fixe les objectifs en termes de sécurité de l’information Elle détaille pour chaque acteur les droits et les devoirs vis-à-vis de la sécurité Elle est diffusée « personnellement » à chaque collaborateur 5 IUT Orsay Licence SRSI 1er semestre 2008 5

La politique générale de sécurité La charte de sécurité pour les tiers Elle présente les critères communs de sécurité s'appliquant à tous type de tiers SSII en régie ou au forfait Sociétés de maintenance Fournisseurs disposant d'accès en télémaintenance Partenaires accédant à certaines parties du SI Elle pourra être annexée au contrat signé avec le tiers. Des dispositions particulières à chaque tiers pourront être ajoutés utilement dans le document 6 IUT Orsay Licence SRSI 1er semestre 2008 6

La politique générale de sécurité La charte utilisateur du S.I. Elle présente les objectifs suivants : Définition claire des droits et devoirs des utilisateurs Informer des comportements à risque devant être évités Informer sur la dimension juridique Elle respecte les règles de bases suivantes : Transparence de la part de l'organisme sur les moyens en place Discussion avec le CE, le CHSCT et les DP Respect des libertés individuelles Sensibilisation et formation à la sécurité de l'information et aux outils Elle précise les sanctions encourues 7 IUT Orsay Licence SRSI 1er semestre 2008 7

La politique générale de sécurité L’engagement de confidentialité Il précise : Les conditions d’accès aux informations Les conditions de conservation, de transport et de diffusion des informations de l’entité Il détaille les sanctions en cas de non respect Il s’adresse À tous les collaborateurs de l’entité À toute personne devant accéder à des informations quelque soit son lien avec l’entité et la nature de ses actions Il est obligatoirement signé par la personne 8 IUT Orsay Licence SRSI 1er semestre 2008 8

La politique générale de sécurité Le schéma d’organisation de la fonction sécurité Il recense les missions / tâches liées à la sécurité Il pré-positionne les rôles et responsabilités des différents acteurs à l’égard des processus sécuritaires types, notamment en matière de : Cadre général et pilotage de la sécurité; Mise en œuvre opérationnelle de la sécurité; Prise en compte de la sécurité dans les projets; Identification et évaluation des risques liés au système d’information; Audits de sécurité du système d’information; 9 IUT Orsay Licence SRSI 1er semestre 2008 9

Comité Directeur Direction Générale Inspection Générale Comité Risques Comité Directeur Division Risk Management Direction Générale Audit Interrelations fonctionnelles Commission Sécurité des Systèmes d’Information (COSSI) Responsable Sécurité Systèmes d’Information (RSSI) Maître d’ouvrage de la gestion des risques S.I. DSI Directions opérationnelles Métiers Responsable Sécurité Informatique (RSI) Maître d’œuvre de la maîtrise des risques informatiques et télécoms Correspondant. Sécurité Systèmes d’Information (CSSI) Instance d’orientation & d’arbitrage Maîtrise d’ouvrage SSI Maîtrise d’œuvre SSI Instance de pilotage et de coordination Instance d’audit et de contrôle Instance d’enquêtes Études & Développements Architectes & Experts Exploitants & Administrateurs Interrelations fonctionnelles

La politique générale de sécurité Directives générales de sécurité (1/5) Elles représentent le référentiel de sécurité de l’entreprise Elles regroupent par grands domaines les règles de sécurité à respecter Elles sont en ligne avec les enjeux, risques majeurs et préoccupations prioritaires soulignés au sein du document de politique générale Elles tiennent compte des principes sécuritaires déjà mis en œuvre, que ce soit au sein des infrastructures informatiques et de télécommunication proprement dites, comme au sein des processus métier Elles sont réalisées à partir d’entretiens avec les différents responsables techniques et fonctionnels de l’entreprise 11 IUT Orsay Licence SRSI 1er semestre 2008 11

La politique générale de sécurité Directives générales de sécurité (2/5) Origine Normes et standards (ISO 27002, IETF,…) Bonne pratiques de sécurité (CoBit) Recommandations (Bâle II, Commission bancaire,…) Expertises Natures 15 directives à dominante informatique (réseaux, postes de travail, Internet, messagerie électronique, téléphonie,…) 6 directives à dominantes non informatique (classification, continuité des activités, ressources humaines,…) 12 IUT Orsay Licence SRSI 1er semestre 2008 12

La politique générale de sécurité Directives générales de sécurité (3/5) Elles sont mises à jours régulièrement pour tenir compte des évolutions : technologiques (nouvel OS, nouveau langage de programmation,…) d’architecture physique ou logicielle Elles sont diffusées largement et d’un accès aisé Enoncé de la règle Niveau de sécurité (S, R, M) Acteurs impliqués Les dispositifs de filtrage, de commutation et de routage doivent être configurés pour garantir l’acheminement des seuls flux autorisés aux seuls destinataires devant les recevoir. S Administrateur dispositifs de sécurité 13 IUT Orsay Licence SRSI 1er semestre 2008 13

La politique générale de sécurité Directives générales de sécurité (4/5) Sécurité Standard (S) Il s’agit d’un principe ou d’une règle dont la mise en œuvre est nécessaire, quelle que soit la criticité de la ressource sur laquelle il/elle est appliqué(e). Le niveau de sécurité standard correspond à la mise en œuvre de dispositifs relevant avant tout de « bonnes pratiques sécuritaires », dans le respect des principes et objectifs définis dans la Politique de Sécurité. Sécurité Renforcée (R) Il s’agit d’un principe ou d’une règle dont la mise en œuvre est souhaitable lorsque l'évaluation des menaces et des enjeux peut amener les Maîtrises d’Ouvrage à demander la mise en place de moyens de sécurité complémentaires sous la forme de dispositifs plus robustes. Sécurité Maximale (M) Il s’agit d’un principe ou d’une règle dont la mise en œuvre est a priori recommandée lorsque des situations spécifiques imposent la mise en œuvre de solutions « sur mesure » (non nécessairement du marché ou standard). 14 IUT Orsay Licence SRSI 1er semestre 2008 14

La politique générale de sécurité Directives générales de sécurité (5/5) Les acteurs Maitrise d’ouvrage RSSI : Responsable de la Sécurité des Systèmes d’Information, Propriétaire d’information, Responsable métier / hiérarchique, Utilisateur Maitrise d’œuvre Equipe développements, Architecte / expert sécurité SI, Administrateur droits d’accès, Administrateur dispositifs de sécurité, Equipe exploitation, Responsable surveillance sécurité Les fonctions supports Ressources humaines (formation, contrats de travail, …), Juridique, Communication, etc. … Les fonctions de contrôle Audit, Inspection, Contrôle des risques, etc. … 15 IUT Orsay Licence SRSI 1er semestre 2008 15

La politique générale de sécurité Procédures de sécurité Décrivent une suite logique d'actions visant à atteindre un objectif Rubriques d’une procédure L’élément déclenchant, Le responsable Les acteurs La description des tâches unitaires Les livrables attendus pour chaque tâche Les conditions de contrôle et de conservation des traces 16 IUT Orsay Licence SRSI 1er semestre 2008 16

Le reporting : Le tableau de bord C’est un outil de synthèse et de visualisation de la politique de sécurité mise en œuvre: Au niveau stratégique. Il permet: Le suivi de l’application de la politique de sécurité De se positionner vis-à-vis des autres structures De préparer les choix et les arbitrages Au niveau du pilotage. Il permet : Le contrôle de la réalisation L’amélioration de la qualité Au niveau opérationnel. Il permet : De mesurer la production et les efforts entrepris pour atteindre les objectifs De motiver et dynamiser les équipes 17 IUT Orsay Licence SRSI 1er semestre 2008 17

Le reporting : Le tableau de bord Il est constitué de différents indicateurs sélectionnés à partir des objectifs validés dans la politique de sécurité. Les formats des indicateurs : Un dénombrement, Un degré mesuré ou estimé sur une échelle de valeur, Un taux, Un ratio, Une note estimée en fonction d’une grille de notation… 18 IUT Orsay Licence SRSI 1er semestre 2008 18

Le reporting : Le tableau de bord Ces indicateurs ont les qualités suivantes : Facilement quantifiables (construit à partir d’informations ou de processus générant des informations quantifiables) afin de permettre des comparaisons (entre systèmes ou entre périodes). Il s’agit le plus souvent de pourcentage, de taux, de ratio, de moyenne et/ou de nombres « bruts »; Les informations nécessaires doivent être faciles à obtenir et/ou collecter; s’appuyer sur des processus « stables » et aisément « reproductibles » ; permettre la mesure des évolutions suite à des actions correctives ; être fiable sur la durée et autoriser une analyse des écarts ; 19 IUT Orsay Licence SRSI 1er semestre 2008 19

Le reporting : Le tableau de bord Un indicateur possède les caractéristiques suivantes : Un indicateur est une donnée objective qui permet d’apprécier une situation, du strict point de vue quantitatif. un référentiel (la performance à atteindre ou à respecter), un seuil d’alerte (niveau à partir duquel des actions correctrices doivent être déclenchées), des points de mesure (les informations élémentaires à collecter), une valeur (l’expression du constat : nombre, pourcentage, différence...), une fréquence de calcul, une fréquence de diffusion, un responsable nommément désigné. 20 IUT Orsay Licence SRSI 1er semestre 2008 20

Le reporting : Le tableau de bord Proportion de traces contrôlées o Calcul : Volume des traces contrôlées x 100 / volume des traces o Valeur cible : 100% Évolution du nombre de comptes inutilisés o Calcul : Nombre de comptes inutilisés o Valeur cible : 0 Renouvellement des sensibilisations et informations des personnels techniques o Calcul : Somme des délais écoulés depuis la dernière sensibilisation ou information de chaque personnel technique / nombre de personnels techniques o Valeur seuil : délai moyen maximal à fixer 21 IUT Orsay Licence SRSI 1er semestre 2008 21

La sensibilisation C’est axe primordial da la politique de sécurité Elle concerne tous les collaborateurs de l’entreprise quelque soit le métier exercé et le niveau de responsabilité Elle doit être adaptée : Au profil des collaborateurs Au métier exercé dans l’entreprise Elle peut porter sur un axe particulier de la sécurité et accompagner la mise en œuvre de pratiques nouvelles Lutte anti virale Renforcement de l’authentification 22 IUT Orsay Licence SRSI 1er semestre 2008 22

La sensibilisation Elle n’est pas « unique » Elle peut prendre une forme ludique (quizz, concours,…) Elle rappelle les obligations professionnelles et légales Elle traite de cas concrets et d’évènements réels Elle prend des formes diverses Interventions des dirigeants lors de manifestation Stage d’accueil Journal d’entreprise et campagne d’affichage dans les locaux Messages sur l’Intranet ou à l’ouverture de session Jeux 23 IUT Orsay Licence SRSI 1er semestre 2008 23