D2 : Sécurité de l'information et des systèmes d'information C Mathieu – ECAM Lyon Séminaire 24/09/2009

D2 : Sécurité de l'information et des systèmes d'information D2-1 : Maîtriser les processus d'une politique de sécurité pour participer à sa mise en place La politique de sécurité de l’information (PSI ou PSSI) doit permettre à l’entreprise de se protéger des risques relatifs à l’information. Elle se concrétise par un document décrivant les objectifs stratégiques que doit permettre d’atteindre la politique, et les règles à appliquer pour atteindre ces objectifs. Cette compétence doit s’appuyer sur une connaissance générale devant induire certains comportements élémentaires. Elle n’a pas pour ambition d’installer un savoir faire complet et structuré. Séminaire 24/09/2009

D2 : Sécurité de l'information et des systèmes d'information D2-1 : Maîtriser les processus d'une politique de sécurité pour participer à sa mise en place Comprendre le rôle du document de définition de la PSSI (périmètre, actualisation) Connaître les caractéristiques attendues d’un système d’information, en termes de sécurité Connaître l’existence de méthodes de mise en place d’une PSSI en incluant les règles de sécurité, à partir d'un modèle de référence Adapter ses comportements et ceux de son équipe en conformité avec la PSSI de l’établissement Séminaire 24/09/2009

D2 : Sécurité de l'information et des systèmes d'information D2-2 : Distinguer les acteurs de la mise en place de la politique de sécurité et identifier leurs responsabilités légales. Reconnaître le rôle prédominant de la direction dans la définition d'une PSSI Identifier le rôle de chacun dans l’application d’une PSSI, et en particulier sa responsabilité individuelle et managériale au sein de l'entreprise, par rapport au non respect de règles édictées. Distinguer les responsabilités entre les fonctions du RSSI et du RSI/DSI, et la nécessaire séparation des rôles. Identifier les principaux types de responsabilité des acteurs de l’entreprise, et les implications juridiques Séminaire 24/09/2009

D2 : Sécurité de l'information et des systèmes d'information D2-3 : Identifier et hiérarchiser les informations afin de les exploiter de façon adéquate Identifier à chaque étape de la vie d’un document, les règles de traitement et de conservation associées à chaque niveau de sensibilité Choisir les outils informatiques en fonction de la sensibilité des informations manipulées Toute démarche de sécurisation de l’information nécessite une identification préalable de la sensibilité de chaque information. Il est inutile, utopique et coûteux de protéger avec les mêmes niveaux de sécurité toute l’information de l’entreprise. La hiérarchisation de l’information est donc la base de sa sécurisation. Elle est abordée dans le cadre de la compétence D5-2. Séminaire 24/09/2009

D2 : Sécurité de l'information et des systèmes d'information D2-4 : Évaluer la sûreté des procédures et connaître la limite des outils permettant de traiter l’information, selon le lieu et le mode d'accès Identifier la typologie d’usage des accès au réseau de l’entreprise, Associer risque/niveau de confidentialité à chaque typologie d‘accès Respecter les contraintes imposées par l’entreprise. Faire preuve d’esprit critique lors de l’utilisation d’outils TIC et l’application de procédures Par typologie d’accès, on désigne : Le poste utilisé : poste de travail (entreprise, personnel, mobile) ; lieu d’usage (domicile, hot spot, cybercafé, …). Le protocole ou service utilisé : protocoles non chiffrés, SSL, WEP/WPA, VPN … Séminaire 24/09/2009

D2 : Sécurité de l'information et des systèmes d'information D2-5 : Estimer les risques accidentels et intentionnels afin que soient prises les dispositions nécessaires Toute étude de risque s’appuie sur l’évaluation des menaces, des vulnérabilités et des impacts. Il est nécessaire qu’une démarche simple ait été appliquée au moins une fois. … Pour guider cette analyse, on pourra s’appuyer sur une équation du type : Risque = Menace  Vulnérabilités  Impact Il existe des méthodes d’analyse du risque sur les systèmes d’information, type Méhari (CLUSIF) ou EBIOS (DCSSI). L’étude de ces méthodes n’est pas nécessaire dans le cadre de l’acquisition de cette compétence, mais peut servir de référence. Séminaire 24/09/2009

D2 : Sécurité de l'information et des systèmes d'information D2-5 : Estimer les risques accidentels et intentionnels afin que soient prises les dispositions nécessaires Identifier les principaux risques accidentels pouvant porter atteinte au système d'information de l'entreprise, et les mesures de sauvegarde pouvant être appliquées Identifier les risques intentionnels humains internes ou externes, et les mesures de sauvegarde pouvant être appliquées Savoir identifier une attaque de type « ingénierie sociale » Séminaire 24/09/2009

D2 : Sécurité de l'information et des systèmes d'information Pistes pour la formation / l’évaluation Cours dédié à la Sécurité des Systèmes d’Information Cours d’informatique, de réseaux, de systèmes d’information Ces cours peuvent être en partie reformulés pour mettre en évidence les enjeux de la SSI, et creuser certains points Conférence SSI / CNIL DCRI, Cusif Rapport de stage : Étudier la PSSI de l’entreprise (ou à défaut les mécanismes s’y rapportant) Quels sont les acteurs ? Comment l’information est-elle gérée ? Comment y accède-t-on ? Quels sont les risques ? Internes et externes Études de cas : Partir d’un type de document que l’apprenant est amené à utiliser (sujet d’examen, rapport de stage, formulaire administratif d’inscription, relevé de notes, blog privé des étudiants, etc.) Séminaire 24/09/2009