Gestion Opérationnelle Sécurité

Slides:



Advertisements
Présentations similaires
Information Préventive et gestion de crise
Advertisements

Surveiller la Réglementation Manager l’organisation Auditer
Démarche Outsourcing SI
QUALIFICATION COMPORTEMENTALE DES BASES DE DONNEES CLIENTS
Vous accompagne vers la conformité
CAPATER Kick-off Meeting Centre TIME Grenoble Ecole de Management 20 avril Grenoble.
Enjeux de la mise en œuvre du dispositif de contrôle interne
Sécurité du Réseau Informatique du Département de l’Équipement
PROJET DE RAPPORT DE LEXERCICE N°1 PRESENTE PAR LE GROUPE N°2 1.
6 Mars 2007 PCN Sécurité1 Le GET et la sécurité Savoir faire Stratégie Projets.
Des outils pour l’amélioration de la sécurité du patient
Sommaire Introduction Les politiques de sécurité
Thierry Sobanski – HEI Lille
CLUSIR - mars 2002 J-François MAHE- 1 - INCAS IN tégration dans la C onception des A pplications de la S écurité
Le profil ingénieur type de l'option QSF sappuie sur la définition des ingénieurs EMN comme des professionnels de la conduite de projets technologiques.
La politique de Sécurité
L’utilisation des Normes ISO 9001 et ISO 9004 dans la démarche qualité
Première Journée Régionale pour la Sécurité du Patient Comment intégrer l’outil ARCHIMED pour la gestion du risque liée au médicament : Le point de.
OBSERVATOIRE NATIONAL DE L'EMPLOI ET DE LA FORMATION
Le management de l’entreprise
Journée Technique Régionale PSSI
Source compilation personnelle à partir d’études internationales
Altaïr Conseil Maîtriser l'information stratégique Sécurisé
Les exigences de la norme ISO 14001
0 NOUVEAUTÉS LES PREMIERS SCEAUX FRANÇAIS DÉLIVRÉS PAR WEBTRUST FRANCE.
Les avantages du système EMAS
Cahier des charges des Connaissances nécessaires au salarié d’une entreprise de travaux agricoles et ruraux en matière de Qualité-Sécurité et Environnement.
Référent et management
l'organisation et les profils d'encadrement dans les futures écoles.
Matinale du 22 mars Club de la Continuité d’Activité MATINALE DU 22 MARS 2011.
Rapprochement des référentiels d’économie droit BTS Assistant de Gestion PME-PMI BAC PRO « Gestion-Administration »
10/04/2017 T A I.
Processus 7 – Fiabilisation de l’information et système d’information comptable 25/11/2014 BTS CG.
La norme ISO ISO TOULOUSE Maj: 22 octobre 2012
PRESENTATION SYSTEME QUALITE IM Projet
Avancement des équipes de rédaction INSPIRE CNIG - Groupe de liaison INSPIRE 8 septembre 2009 Marie-Louise ZAMBON - IGN.
Université et ses composantes Enjeux d’attractivité ?
CLIC DEPOT SARA KOUROU – 03 SEPTEMBRE 2007
Organigramme projeté au 1er janvier 2009 :
ISO 9001:2000 MESURE, ANALYSE et AMELIORATION Interprétation
1 Copyright WebTrust France Nouveautés Copyright WebTrust France Les premiers sceaux français délivrés par WebTrust France.
« Amélioration de l'accès à l'emploi des jeunes en situation de handicap dans la région du Grand Casablanca » Casablanca le 31 mars 2015.
Mémoire de 3 ème Année - Veille en sécurité et traitement des alertes BERGERAS Thibault - JEUDY François - VENCE Eric 3 BR BERGERAS Thibault - JEUDY François.
Type de mission Les missions d'audit se caractérisent :
Management de la qualité
Les intégrer dans une démarche d’analyse de risques
Offre de service Sécurité des systèmes d’information
les nouveaux fondamentaux pratiques
L’enseignement de spécialité SLAM
Journée « Ma démarche FSE » Salle Laroque 16 avril 2015
Point d’étape sur le projet […] au sein de la DCOM
Copyright HEC 2004-Jacques Bergeron La mesure du risque Lier la théorie et la pratique Jacques Bergeron HEC-Montréal.
Me Jean Chartier – Président de la CAI au Québec et de l’AFAPDP Enjeux de la régulation : comment assurer une protection efficace des renseignements personnels.
Secrétariat général direction de la Recherche et de l’Animation scientifique et technique Présentation de la directive européenne INSPIRE.
Le rôle du RSSI © Claude Maury
Système de Management Intégré
PROCESSUS D’AUDIT PLANIFICATION DES AUDITS
Transformation digitale Comment maîtriser les risques ?
Projet formation en conduite de changement
2 Objectifs de la séance Décrire les effets positifs de la confidentialité des données pour une FI et le client Dressez la liste des indicateurs de performance.
Chambre de Commerce et d'Industrie de Rennes DIANA NATURALS Système de management des -idées - Diagnostic, Processus et Outils 28 mars 2008.
La construction et l’évolution du schéma stratégique de l’établissement par Christian DROZ-BARTHOLET IRE Bordeaux/Aquitaine.
KM CS – Avril 2004 Monographies de projets CS Guide d’utilisation.
LE PROJET STRATÉGIQUE UN PROJET STRATÉGIQUE. POUR PERMETTRE A CHACUN DE… Donner du sens à l’action Partager une vision commune Se mobiliser.
LES FAILLES DE SÉCURITÉ INFORMATIQUE PRÉSENTÉ PAR MOISSON ARTHUR, TORRES BALTAZAR, FULCHER ARNAUD.
L’ISO : « Sécuriser les gains énergétiques durablement en s’appuyant sur l’ISO 50001 ! » Pascal Thomas, Délégué Régional AFNOR Grand Est et auditeur.
Transcription de la présentation:

Gestion Opérationnelle Sécurité Thierry MANCIOT – SFR GT Sécurité CRIP

Le GT Sécurité CRIP 124 membres inscrits Démarrage au mois de Mars 2012 Une quinzaine de membres actifs MACIF, Generali, Bouygues Telecom, Orange, SFR, Renault, Groupama, PSA, DISIC, Lafarge, CNP Assurances, Météo France, Matmut, DGAC Partage de retours d’expérience sur des thématiques sécurité ciblées Approche opérationnelle et pragmatique Publication d’une newsletter

GOS : De quoi parle-t-on ? Administration Administration des briques sécurité Administration des outils de surveillance et contrôle Gestion d’éléments de sécurité (certificats, secrets,…) Gestion des vulnérabilités et correctifs de sécurité Veille sécurité opérationnelle incluant la réputation Internet Détection / Surveillance des événements de sécurité Surveillance / détection Contrôle Audits / tests d’intrusion Contrôle de conformité à la politique sécurité Gestion incidents Traitement des incidents sécurité Gestion crise sécurité Analyses post mortem Organisation – pilotage transverse Processus sécurité opérationnels Reportings / Tableaux de bord

GOS : quelles évolutions ? Les domaines liés à la surveillance / détection et gestion des incidents prennent de l’ampleur La GOS adresse de plus en plus les couches applicatives Les maillages fraude et sécurité se créent Les compétences évoluent vers plus d’expertise notamment dans la détection

Contexte réglementaire Paquet Telecom – transposition dans le droit français S’applique aux opérateurs de communication électronique Ordonnance relative aux communications électroniques adoptée le 24 aout 2011 et décret 2012-436 du 30 mars 2012 – Notification en cas de vol de données à caractère personnel Obligation d’avertir sans délai la CNIL La CNIL peut mettre en demeure le fournisseur d’informer l’intéressé Obligation de tenir à jour un registre des violations de données personnelles Décret 2012-488 du 13 avril 2012 Obligation de notifier les failles de sécurité sans délai à l’autorité publique Projet de règlement européen sur la protection des données personnelles 25 janvier 2012: publication du projet de Règlement Règlement applicable à tout fournisseur qui traite les données d’un utilisateur UE Obligation pour toutes les entreprises > 250 employés d’avoir un CIL Notification des violations de données personnelles à l’autorité nationale Projet de règlement européen NIS (Network and Information Security) 07 Février 2013 : publication du projet de Règlement Obligation de notifier à l’autorité nationale les failles de sécurité touchant les infrastructures critiques

Principales problématiques Quels sont les modèles de mise en œuvre des processus opérationnels sécurité (ITIL vs spécifique) ? Comment évaluer et communiquer sur les risques sécurité liés aux incidents ? Comment mobiliser les équipes opérationnelles en réaction aux incidents de sécurité ? Comment valoriser / mesurer l’efficacité des dispositifs opérationnels de sécurité ? Comment étendre les canaux de détection et d’alerte ?

Incident sécurité et ambivalence Confidentialité Mobilisation Une approche standard qui requiert certaines spécificités S’appuyer sur les dispositifs standards de gestion des incidents Organisation, process ITIL, schéma d’escalades, outils de ticketing,… Intégrer le détail des incidents dans un référentiel à accès restreint Traiter de manière spécifique certains types d’incidents (fraude, RH, obligations légales,…) Créer son propre réseau de confiance Mettre en place les dispositifs de communication vis-à-vis des instances de réglementation Anticiper les arrêts volontaires de services dans les plans de réaction Gérer dans le temps la durée d’un incident / crise sécurité

Process incident sécurité Détection Pré-qualification Alerte Qualification / Traitement de l’incident Fiche d’aide à la qualification Equipes de production Process incident production Matrice IG Si impact sécurité Acteurs internes Equipes sécurité Services clients Process incident sécurité SOC Dispositifs de surveillance et contrôle Crise Métiers Matrice impact métiers

Modèle d’aide à la qualification Fiche d’aide à la qualification Aide à qualifier l’événement observé en incident de sécurité Aide à identifier les points de contacts Indique les premiers réflexes Diffusée sur l’intranet + campagne de sensibilisation Matrice IG Basée sur : Catégories d’incidents Sensibilité des actifs Ampleur Echelle d’IG sécurité équivalente à l’échelle IG de production : Mobilisation des équipes de production Schémas d’escalades déjà en place Evolution de l’IG dans le temps Matrice impact métiers Basée sur : Catégories d’impacts métiers Niveau d’impact métier Permet de mieux communiquer avec les entités métiers pendant l’incident et post incident Notion de « confiance » dans la qualification des incidents sécurité Notion de « récurrence » des incidents

Démarche d’amélioration continue Systématiser les REX sur les incidents sécurité majeurs afin de : Améliorer la détection et la qualification Expliquer/Communiquer sur le niveau de gravité de l’incident Définir les plans d’actions de prévention dans le cadre de la gestion des problèmes sécurité Réaliser périodiquement des exercices de crise sur différents types de scénarios: Le plus probable Celui avec fort impact technique Le plus transverse (impactant le plus de directions techniques et métiers) Celui qui est couplé avec un exercice de PRA

Conclusion et perspectives Accompagner l’évolution de la Gestion Opérationnelle Sécurité Industrialiser les dispositifs opérationnels de sécurité Renforcer l’expertise sécurité dans les domaines de la surveillance Accompagner le changement, communiquer Ne pas négliger les phases de Build pour être efficace dans le Run Perspectives 2013 du GT Sécurité CRIP : Sécurité dans les projets Organisation et acteurs Classification des besoins de sécurité par types de projets Gestion de la donnée sensible dans le cycle projet Contrôles et validations sécurité dans le projet

Merci de votre attention Questions ?

Matrice IG sécurité Catégories d’incidents : Accès, modification, collecte non autorisés de données Divulgation d’information Intrusion / prise de contrôle Comportements anormaux (usages frauduleux, usages abusifs, comportements déviants,…) Présence de fichiers malveillants (malware) Dysfonctionnements (déni de service par ex, indisponibilité de service non expliquée) Vulnérabilités critiques Actifs : Sensibilité du service / application Sensibilité de la donnée Ampleur : Nombre d’actifs impactés par l’incident Niveau de contagion

Matrice impacts métier Catégories d’impacts : Perte financière Réputation / Image de marque Réglementation / Juridique Insatisfaction clients Disponibilité des services

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.