9 novembre 2005 Groupe de Travail Système d’Information - Sécurité – M. Georges Strutynski R.S.S.I. au Conseil Général de la Côte-d’Or.

Slides:



Advertisements
Présentations similaires
Surveiller la Réglementation Manager l’organisation Auditer
Advertisements

Les Ressources Requises pour un Exercice de Profilage des PDIs Atelier Bangui, République Centrafrique 9 mars 2011.
Le Groupe  ses ACTIVITES :
Le Contrôle dans tous ses états. 2 A- Le Crédit Coopératif.
Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.
Le point de vue de l’auditeur
de Modernisation des Secteurs Publics : L’expérience marocaine
Sommaire Introduction Les politiques de sécurité
LA QUALITE LOGICIELLE Plan du cours Le Plan Qualité 1 h ½
D2 : Sécurité de l'information et des systèmes d'information
LES BONNES PRATIQUES Présentation du 31 Mars 2005
La politique de Sécurité
Année 1 : Etat des lieux / Analyse contextuelle
L’utilisation des Normes ISO 9001 et ISO 9004 dans la démarche qualité
Région Rhône-Alpes Démarche expérimentale - lycées éco-responsables Capitalisation de la 1 ère année dexpérimentation
TD 1 ? Quels sont les avantages relatifs à la définition d’une politique de sécurité pour une organisation ? Avantage : traiter la problématique de la.
1 Je jure quà ma connaissance (qui est trés limitée et peut être révisée dans lavenir), le comptes de ma société sont (plus ou moins) exacts. Jai vérifié
D ISO 9000 Étapes pour l’implantation d’un système qualité dans une organisation.
Présentation des missions des systèmes dinformation Améliorer de manière permanente la qualité de service auprès des utilisateurs en étant garant de :
Soutenance du rapport de stage
La RBPP sur l’adaptation à l’emploi Du point de vue de l’Anesm
La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.
Journée Technique Régionale PSSI
Gestion des risques Contrôle Interne
Portefeuille de Compétences
Evaluation des besoins en renforcement des capacitEs
Organigramme des services de l’Ecole
Etapes vers la Certification - Préparation de groupe –
Jean-Noel Guillossou Responsable du Programme SSATP Priorités stratégiques du SSATP Réunion annuelle, décembre 2012.
Cahier des charges des Connaissances nécessaires au salarié d’une entreprise de travaux agricoles et ruraux en matière de Qualité-Sécurité et Environnement.
CASIER JUDICIAIRE NATIONAL
Environnements de travail Schéma directeur des. SDET : un méta projet du S3IT S3IT : Une démarche globale Une démarche structurante Une démarche de projet.
Certification OHSAS Version 2007
Rapprochement des référentiels d’économie droit BTS Assistant de Gestion PME-PMI BAC PRO « Gestion-Administration »
StorageAcademy 21 juin 2007 StorageAcademy ® 1 StorageAcademy ITIFORUMS, 21 juin 2007 La conduite des projets d’archivage numérique Méthodes pour réussir.
Recommandation pour renforcer le rôle des SPE dans la prévention de la pauvreté Recommandation pour renforcer le rôle des SPE dans la prévention de la.
LE PLAN QUALITE Utilité du plan qualité :
ISO et ISO 9001: quel est le lien entre la responsabilité sociétale et la qualité? Questo modello può essere utilizzato come file iniziale per l'aggiornamento.
HOPITAL PUBLIC - INTERMEDICA 2002
La certification des comptes
PRESENTATION SYSTEME QUALITE IM Projet
LES COMPETENCES EN APPLICATION DE PRODUITS PHYTOSANITAIRES
La norme international OHSAS et la directive MSST
IAEA Training Course on Effective and Sustainable Regulatory Control of Radiation Sources Stratégies pour un contrôle réglementaire efficace et durable.
Quel intérêt pour l’entreprise ? Comment mettre en place ?
Rôle des CI dans la démarche qualité
L’Etablissement Français du Sang
AMDEC vivante et continue : la sécurité progresse … très nettement
Management de la qualité
IAEA Training Course on Effective and Sustainable Regulatory Control of Radiation Sources Système de Management des Organismes de Réglementation et le.
L’Amélioration continue
Offre de service Sécurité des systèmes d’information
Projet: Normes, qualités et processus
Sites Pilotes Généralisation
MODULE DE FORMATION À LA QUALITÉ
Principes et définitions
TD 1 ? Quels sont les avantages relatifs à la définition d’une politique de sécurité pour une organisation ? Avantage : traiter la problématique de la.
Copyright HEC 2004-Jacques Bergeron La mesure du risque Lier la théorie et la pratique Jacques Bergeron HEC-Montréal.
P.E.P.S. Projet d’Elaboration du Pilotage des Services
Normes internationales en gestion environnementale
La certification des comptes
Le rôle du RSSI © Claude Maury
Martine Miny - MPInstitut - Référentiels et métiers de management de projet - Mastère IESTO - 9 février 2004 Référentiels et métiers de management de projet.
Système de Management Intégré
Société de l’information et régions Politique régionale 1 Les stratégies régionales pour la société de l ’information Jean-Bernard Benhaiem,
ISO 9001:2000 Interprétation (Introduction et Para 1-4)
PROCESSUS D’AUDIT PLANIFICATION DES AUDITS
Transformation digitale Comment maîtriser les risques ?
Coopération Technique Belge Audit interne à la CTB : présentation.
CONTENU DE L ’ISO Définition métrologie.
Transcription de la présentation:

9 novembre 2005 Groupe de Travail Système d’Information - Sécurité – M. Georges Strutynski R.S.S.I. au Conseil Général de la Côte-d’Or

SOMMAIRE La collectivité Les motivations de la création de la fonction de R.S.S.I. La démarche Le bilan

La collectivité

Les secteurs prioritaires Les jeunes La famille et la solidarité L’aménagement et l’animation du territoire Le soutien direct à l’économie

Quelques chiffres significatifs Budget : 420 M € Effectif : 1 000 personnes Sites : 40 sites Equipe informatique: 30 personnes Parc informatique : 1 000 postes

Les motivations

Les motivations Un budget informatique en hausse… Pour un résultat peu visible Le sentiment d’une forte dépendance par rapport à l’informatique sans réel moyen de contrôle de la part de la Direction Générale

Des changements profonds Dématérialisation des procédures administratives ouverture du SI vers l’extérieur Loi de décentralisation habitudes de travail importance des échanges d’informations

Décision Création de la fonction d’audit interne indépendant du maître d’œuvre

La création de postes spécifiques un Responsable de la Sécurité des Systèmes d’Information deux Conseillers en Gestion Chargés de Mission attachés à la Direction Générale

Le RSSI Rattachement à la Direction Générale des Services Définition de la politique de sécurité Contrôle de la mise en œuvre Communication sur la sécurité dans les services Suivi des évolutions technologiques Rapport auprès du Comité de Pilotage

La présentation auprès de la Direction Générale Etendre la mission aux systèmes d’information Priorité aux missions de la collectivité Couvrir tous les aspects de la sécurité des SI

Quelle démarche adopter ?

La classification des approches Une norme une référence Un recueil de bonnes pratiques la mutualisation d’expérience

La Norme ISO 17799

Qu’est-ce que ISO 17799 ? Un standard international qui couvre tous les aspects de la sécurité informatique : les équipements, l’exploitation, les communications la politique et les directives de gestion les ressources humaines la sécurité physique les aspects contractuels, juridiques et sociaux.

« Beaucoup de systèmes d'information n'ayant pas été conçus pour être sécurisés, la mise en œuvre de moyens techniques de protection a un impact limité et doit être soutenue par une organisation appropriée et des procédures ». Introduction ISO/IEC 17799:2000

« L’Information peut exister sous plusieurs formes « L’Information peut exister sous plusieurs formes. Elle peut être imprimée ou écrite sur du papier, enregistrée sous forme électronique, transmise par le courrier ou par un réseau, montrée sur un film, ou communiquée lors d’une conversation ». ISO/IEC 17799:2000

Les objectifs de la sécurité informatique Protéger les actifs (information et moyens de les traiter) de l’organisme contre les risques et ce, d'une manière adaptée à son environnement et à l'état de son outil informatique.

Les objectifs de la sécurité informatique Adéquation entre Risques Moyens Coût sécurité < Risque encouru

Comment établir ses exigences de sécurité ? Évaluation des risques (menaces, vulnérabilités, probabilité de survenance, estimation impact …) Les lois, réglementations et contrats Les principes, objectifs et impératifs propres à l’activité de l’organisme

Information Exploitation et Politique de sécurité L’organisation Conformité Classification et contrôle des actifs Gestion de la continuité Intégrité Confidentialité Sécurité liée au personnel Gestion des incidents Information Disponibilité Traçabilité Sécurité physique Développement et maintenance Exploitation et Communications Contrôle des accès

L’organisation du document 1 2 3 4 4.1 4.2 Domaines (x 11) Objectifs (x 39) Contrôles / exigences / recommandations (x 133) 4.1.1 Chaque domaine peut être contrôlé indépendamment Tous les contrôles ou objectifs ne sont pas obligatoirement applicables

Exemple

Les objectifs de Sécurité 5 - Politique de sécurité 5.1- document de politique de sécurité de l'information 5.2 - révision et évaluation 6 - Organisation de la sécurité 6.1 - organisation interne 6.2 - acteurs externes 7 - Classification et contrôle des actifs 7.1 - responsabilités liées aux actifs 7.2 - classification de l'information

Les objectifs de Sécurité 8 - Sécurité liée au personnel 8.1 - avant la prise de fonction 8.2 - pendant l’exercice de la fonction 8.3 - au changement de fonction 9 - Sécurité physique 9.1 - zones de sécurité 9.2 - sécurité des équipements

Les objectifs de Sécurité 10 – Exploitation et communications 10.1 - procédures et responsabilités opérationnelles 10.2 - suivi de la sous-traitance 10.3 - planification et recette des systèmes 10.4 - protection contre les logiciels pernicieux 10.5 - sauvegardes 10.6 - gestion des réseaux 10.7 - manipulation et sécurité des supports 10.8 - échanges d'informations et de logiciels 10.9 - les services de commerce en ligne 10.10 - supervision

Les objectifs de Sécurité 11 - Contrôle des accès 11.1 - exigences de l'entreprise pour le contrôle d'accès 11.2 - gestion des accès utilisateurs 11.3 - responsabilités des utilisateurs 11.4 - contrôle de l'accès aux réseaux 11.5 - contrôle de l'accès aux systèmes d'exploitation 11.6 - contrôle de l'accès aux applications 11.7 - informatique mobile et télétravail

Les objectifs de Sécurité 12 - Développement et maintenance des systèmes 12.1 - exigence de sécurité des systèmes 12.2 - sécurité des systèmes d'applications 12.3 - mesures cryptographiques 12.4 - sécurité des fichiers systèmes 12.5 - sécurité des processus de développement et de support 13 - Suivi des incidents de sécurité 13.1 - tableau de bord des incidents 13.2 - résolution des incidents et amélioration des mesures de sécurité

Les objectifs de Sécurité 14 - Gestion de la continuité 14.1 - aspects de la gestion de la continuité 15 - Conformité 15.1 - conformité aux exigences légales 15.2 - examen de la politique de sécurité et de la conformité technique 15.3 - considérations sur les systèmes d’audits

Ce que la norme ISO 17799 n’est pas… Une norme de certification de sécurité Exclusivement informatique Une liste exhaustive de sécurité Un niveau d’assurance de sécurité Une méthode d’analyse de risque

Les facteurs de succès Une politique, des objectifs et des activités de sécurité en phase avec les objectifs globaux de l’organisme. L’appui et l’engagement clairs de la Direction. Une approche conforme à la culture de l'organisme. Une bonne compréhension des impératifs de sécurité.

Le bilan

Des choix Le choix d’une norme Formation Choix d’un prestataire approche exhaustive crédibilité choix d’un prestataire Formation norme ISO 17799 état de l’art des techniques de hacking méthodes d’audit Choix d’un prestataire veille technologique état des lieux

L’étude initiale Etude technique Etude organisationnelle en externe en interne Etude organisationnelle sur la base de la norme ISO17799 entretien avec les directions ou services représentatifs

La mise en oeuvre Intégration de la sécurité des SI dans l’activité des services Rédaction de la documentation de base Gestion de risque Audits complémentaires Audits récurrents Implication de l’ensemble du personnel

L’assistance Nécessité d’être assisté Problème du choix de la société compétence technique méthode d’audit Problème du choix de la société aspect technique

L’organisation de la Sécurité

L’intégration dans le fonctionnement des services Rôle du RSSI le rattachement à la Direction Générale des Services est primordial estomper l’aspect technique… tout en répondant aux questions techniques disponibilité des membres du Comité

L’intégration dans le fonctionnement des services Intégration de la sécurité des SI dans les projets pilotés par le service Informatique pilotés par d’autres services

Les documents Charte Périmètre général DROIT : code du travail, code pénal, informatique et liberté, etc. TECHNIQUE ORGANISATION ET METHODES Politique de sécurité Périmètre général Directives de sécurité Application à un sous-ensemble du système d’information. Charte Guides et procédures Dispositions concrètes.

La formalisation Politique globale de sécurité Directives Référentiel adapté à l’ environnement Concision Appropriation par le comité de pilotage Directives Exprimer les exigences de sécurité Ne pas faire le choix de la solution Par quoi commencer ?

La formalisation Charte d’utilisation Passage en CTP Caractère obligatoire Signature par les utilisateurs

La gestion du risque Choix de la méthode MEHARI ou EBIOS trop complets Préférence pour une approche plus macroscopique Entretiens avec les directeurs Description des missions de la direction Favorise l’appropriation de l’information par les directions

Des extraits de livrables

Point ISO associé État Action Sécurité du personnel ý Signalisation et réactivité face à un incident de sécurité Sécurité physique Démarche globale contre les risques physiques de vol, d’altération et de destruction Gestion de la mise au rebut des équipements Exploitation Documentation & processus d’exploitation Sensibilisation des utilisateurs à la sécurité Accords de confidentialité pour le personnel Surveillance du nouveau personnel Classification et inventaire Réaliser une analyse des enjeux Réaliser une cartographie détaillée des applications Organisation de la sécurité Mettre en place des clauses de sécurité dans les contrats Politique de sécurité Rédaction d’une politique de sécurité En cours Non pris en compte Réalisé Point ISO associé État Action

L’évaluation des risques Un examen périodique est nécessaire pour : tenir compte des changements dus aux exigences de l’activité et aux priorités. (+ technologies, organisation) considérer de nouvelles menaces et vulnérabilités. confirmer que les contrôles restent efficaces et appropriées. Il faut pratiquer des audits réguliers … La méthode n’est pas dans l’ISO 17799

La sensibilisation Session de sensibilisation Démarche nouvelle Définitions (information, DICT) Présentation de la gestion du risque La sécurité des SI dans les habitudes de travail Présentation de la charte Mesures de protection de l’ordinateur personnel Démarche nouvelle

La sensibilisation Présentation de l’utilisation des certificats électroniques signature authentification chiffrement infrastructure exercices pédagogiques Intranet quizz veille à l’attention des utilisations domestiques

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.