Sommaire Introduction Les politiques de sécurité Sommaire de politique Groupe puis Métier Quelques conseils pratiques A chacun sa politique La classification des actifs La promotion de la politique Conclusion
Les rôles des entités sécurité Mesure de l'atteinte de ces objectifs (contrôle permanent) Vérification de l'atteinte de ces objectifs (contrôle périodique) Actions pour atteindre ces objectifs (projets, administration…) Définition des objectifs de chaque métier (politique, indicateurs,, livrables…) Amélioration continue (stratégie de maîtrise du risque opérationnel, organisation…) Définition de la politique générale de sécurité
Les politiques de sécurité Cadre général de sécurité du groupe : Sécurité de l'information Continuité des opérations Sécurité des biens et des personnes Périmètre à définir selon la norme ISO 27001 Sécurité d’un métier (activité, entité…) Politique sécurité de l’entité, conformément Au cadre réglementaire A l’appétence au risque de l’entité (stratégie RO) Au cadre de la politique Groupe Entités informatiques de sécurité opérationnelle Mise en œuvre de la sécurité au quotidien Règles opérationnelles applicables Cadre de contrôle permanent La sous-traitance, dont l’offshore Administration des secrets et des accès , projets techniques Contrôle / pilotage de la sécurité de production
Un référentiel d’une politique Groupe
Un sommaire de politique métier (1/2) Préambule . 1. Périmètre d’application . 2. Exigences de sécurité. 3. Principes directeurs . 3.1. Classification des ressources. 3.2. Approche raisonnée de la sécurité des SI. 3.3. Organisation claire et opérante de la sécurité des SI. 34 Maîtrise des accès aux SI . 3.5. Garantie de la continuité des activités. 3.6. Intégration de la sécurité dans les projets SI et maintien du niveau de sécurité dans les applications . 3.7. Capacité de réaction à incident . 3.8. Sensibilisation et formation à la sécurité des SI. 3.9. Pilotage de la sécurité des SI. 4. Responsabilités . 4.1. Responsabilités au sein des activités du Métier AAA. 4.2. Responsabilités dans le cadre des activités liées aux systèmes d’information. 4.3. Responsabilités des acteurs de la Filière SSI du Métier AAA . 4.4. Dispositifs de contrôle . 4.5. Instances de pilotage. 4.6. Articulation avec les principes de responsabilité définis par le Groupe.
Un sommaire de politique métier (2/2) 5. Obligations liées aux SI . 5.1. Cadre législatif et réglementaire. 5.2. Comportements et règles de conduite. 5.3. Contrats de prestations, d’hébergement et conventions de service. 6. Métrique de sécurité des SI du Métier AAA . 6.1. Échelle d’évaluation d’impact . 6.2. Grille de niveaux de sécurité . 7. Mise en oeuvre de la Politique générale de sécurité des SI . 7.1. Déclinaison opérationnelle de la PGSSI-AAA . 7.2. Évolution et diffusion de la PGSSI-AAA . 7.3. Suivi et contrôle de la PGSSI-AAA. ANNEXE 1 : Échelle d’évaluation d’impacts. ANNEXE 2 : Grille de niveaux de sécurité. ANNEXE 3 : Structure du cadre de référence de la sécurité des SI. ANNEXE 4 : Glossaire. ANNEXE 5 : Signatures des validateurs.
Quelques conseils pratiques (1/2) Une politique, pour quoi faire ? Se poser dès le départ la question de l’objectif de la production d’une politique : raison, lectorat, texte cadre ou règles précises… Périmètre d’application et responsabilité Bien préciser à qui la politique s’adresse : population, activité, entité juridique, implantation géographique… Qui est responsable de quoi Qui décide, qui fait, qui porte le risque, qui contrôle… ? Est-ce réaliste et applicable ? Une politique est opposable Le régulateur la lit et demande « est-ce appliqué, si oui comment, prouvez-le ? »
Quelques conseils pratiques (2/2) Est-ce vérifiable ? Procédures et outils de contrôle La vérification technique est souvent nécessaire – mais pas indispensable, la sanction disciplinaire (RH) peut être appliquée même en l’absence d’outil technique de prévention / détection / contrôle Maintenir à jour le corpus documentaire Versions, références… Style simple et claire Indicatif présent, verbes directs, voix active - Éviter le conditionnel, le futur… Éviter les adjectifs et les adverbes Par exemple : très compatibles, exhaustivement, très sécurisé, parfaitement documenté, inventaire exhaustif, Éviter les anglicismes (quand possible) et disposer d’un glossaire Par exemple : encryption (chifffrement), software…
A chacun sa politique Les utilisateurs (la grande masse) : instructions claires, pratiques, applicables, dans leur langue (au sens large…) La politique de sécurité du groupe ne les concerne pas… Les manuels de sensibilisation, les guides pratiques (sur leurs outils et comportements) leur sont n nécessaires Les acteurs informatiques Les architectes. La maîtrise d’ouvrage La maîtrise d’oeuvre et la production informatique La Direction générale (stratégie, aversion au risque, conformité…) Les organes de contrôle (permanent et périodique) – base de leurs contrôles et vérifications La conformité, le risque opérationnel… Lien avec leur politique, leurs contrôles….
Classification des actifs La classification des actifs est à la base de toute politique de sécurité Les classes d’actifs information : procédures, informations actives ou archivées, logiciel : applicatifs, systèmes, outils de développement, etc. Actif physique : matériel informatique, de communication, supports, Actif service : services de production, d'infrastructure, applicatifs métiers, etc. Les catégories. Disponibilité, intégrité, confidentialité, preuve / trace
Validation, diffusion, promotion… Validation de chaque document Relu et validé par les responsables sécurité des entités Nombre raisonnable de relecteurs et autorité en cas de longues discussions… Utiliser des spécialistes pour certains types de sujets Sensibilisation : Direction de la communication Règle de comportement : DRH Règles opposables : Affaires juridiques et Inspection générale… Prévoir la diffusion dès le départ Supports : intranet, papier, messagerie… Et surtout faire connaître les politiques Communiquez, communiquez, communiquez…
Conclusion Une politique est nécessaire mais pas suffisante. Elle doit être traduite en règles applicables, en contrôles à exercer. La politique doit surtout être connue et appliquée. Son degré d’application doit être mesuré – c’est le critère de réussite de la démarche, avec la complétude et la pertinence du jeu complet