La politique de Sécurité

Slides:

Advertisements

Présentations similaires

Botnet, défense en profondeur

Advertisements

La Gestion de la Configuration

Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.

Sécurité du Réseau Informatique du Département de l’Équipement

Module 4.12 Etablir un système de documentation et d’enregistrement (Etape 12 / Principe 7)

Manuel Qualité, Structure et Contenus – optionnel

Implémentation de la gestion de réseau dans Windows 2000 et plus

Les fondements de la GRH

Sommaire Introduction Les politiques de sécurité

Conception de la sécurité pour un réseau Microsoft

D2 : Sécurité de l'information et des systèmes d'information

Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Création de comptes d'utilisateurs

LES BONNES PRATIQUES Présentation du 31 Mars 2005

L’utilisation des Normes ISO 9001 et ISO 9004 dans la démarche qualité

1 Je jure quà ma connaissance (qui est trés limitée et peut être révisée dans lavenir), le comptes de ma société sont (plus ou moins) exacts. Jai vérifié

23/05/2006 Résultat Final Business Consulting Services Pré-étude portant sur l'implémentation et l'organisation d'un système de gestion des connaissances.

La revue de projet.

La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.

. Importance des procédures administratives & financières et du contrôle interne.

Gestion du cycle de vie des applications Lotus Notes Ady Makombo Directeur Teamstudio France

Gestion des risques Contrôle Interne

SECURITE DU SYSTEME D’INFORMATION (SSI)

Validation des compétences C.2.1 – C.2.2 et C.2.3

Présentation Spécificités Générales Spécificités Produit Coup dœil dans les organisations Quattend le PDG dun responsable RH Le Rôle du responsable RH.

Les exigences de la norme ISO 14001

Amélioration de la sécurité des données à l'aide de SQL Server 2005

1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.

[GPM-02] Approche processus de l'organisation

Montage Hors Tension BT

Lutilisation de la Cloudwatt-box Emmanuel Keller, CTO OpenSearchServer.

Guide de gestion environnementale dans l’entreprise industrielle

“Si vous ne pouvez expliquer un concept à un enfant de six ans, c’est que vous ne le comprenez pas complètement” - Albert Einstein.

SEMINAIRE DE CONTACT novembre 2008 Outils de gestion de projet.

Concevoir votre processus de

Le Cycle de conception Processus à suivre pour toute production Documenter le processus dans le carnet de réalisation.

Mise en oeuvre et exploitation

Introduction à la Sécurité Informatique

HOPITAL PUBLIC - INTERMEDICA 2002

Le système informatique et le système d’information

ISO 9001:2000 MESURE, ANALYSE et AMELIORATION Interprétation

Formalisation de la politique qualité

L’ergonomie des IHM : pourquoi, comment ?

B2i école : domaines, aptitudes et pistes d’activités

ISO 9001:2000 DOCUMENTATION DU SYSTEME QUALITE

MODULE DE FORMATION À LA QUALITÉ

ISO Système documentaire Besoins clients

Offre de service Sécurité des systèmes d’information

Principes et définitions

Copyright HEC 2004-Jacques Bergeron La mesure du risque Lier la théorie et la pratique Jacques Bergeron HEC-Montréal.

Maîtrise Universitaire en Comptabilité, Contrôle et Finance Audit des systèmes d'information Partie 3: ANNNEXES Module Audit Emanuel Campos - version.

V- Identification des ordinateurs sur le réseau

- green computing – l’informatique verte -

Dans une démarche qualité : catégoriser ses documents, c’est gagner du temps, et c’est surtout éviter les problèmes ! Idealys, le 13/10/2010 (Patrick Lacroix.

La Cyber-Surveillance des employés: usages, limites légales, …

Secrétariat général direction de la Recherche et de l’Animation scientifique et technique Présentation de la directive européenne INSPIRE.

Sécurité des Web Services

Hazard Analysis critical control point

ISO 9001:2000 Interprétation (Introduction et Para 1-4)

PROCESSUS D’AUDIT PLANIFICATION DES AUDITS

Rappel au Code de sécurité des travaux 1 Code de sécurité des travaux, 5e édition, 2008 Rappel du personnel initié Chapitre Lignes de transport (Aériennes)

ISO 9001:2000 Interprétation Article 7 Réalisation du produit

1 41Qualité d’un logiciel Référentiel Gestion Comptable.

La Charte Informatique

Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.

Club INTELECO – Jeudi 14 mai Club Inteléco « Protection de l’information sensible dans l’entreprise » Jeudi 14 mai 2009 CCI Rennes Bretagne.

Projet de gestion des documents. 2 Contexte Loi sur l’information du public, la protection des données et l’archivage du 9 octobre 2008 (art. 41) 1 Les.

CONTENU DE L ’ISO Définition métrologie.

Transcription de la présentation:

La politique de Sécurité

La politique de Sécurité Définit la manière dont la sécurité doit être mise en œuvre dans une entreprise. Responsabilise tout le monde. Chacun doit comprendre ce que l’on attend de lui. Etablit des règles de configuration des systèmes et la façon dont les employés doivent agir.

Stratégies Quatre stratégies sont possibles : Tout couper : L’approche paranoïaque Tout couper et autoriser ce qui est utilisé : L’approche prudente Tout autoriser et couper ce qui semble dangereux : L’approche permissive Tout autoriser : L’approche laxiste

Stratégies La politique de sécurité doit être applicable et réaliste ! La mise en place d’une collaboration de tous les utilisateurs du système d’information est indispensable pour la réussite et la pérennité du projet.

Le but Les objectifs doivent être précisément définis. Le document qui traite le sujet doit clairement énoncer pourquoi la procédure a été créée et quel avantage l’entreprise espère en obtenir.

Le champ d’application Chaque procédure doit indiquer les domaines auquel elle s’applique : Ordinateurs Infrastructure réseau Utilisateurs

Responsabilité Un responsable de la mise en œuvre des règles définies par la politique doit être désigné. Cette personne doit être correctement formé et connaître les objectifs des procédures qu’elle applique.

Politiques et procédures : Politique de l’Information Politique de Sécurité Politique d’utilisation des ordinateurs Politique d’utilisation d’Internet Procédures de gestion utilisateurs Procédure d’administration système Procédure de gestion de la configuration

Politique de l’Information Elle détermine quelles sont les informations sensibles dans l’entreprise et comment celles-ci doivent être protégées.

Politique de l’Information Identification des Informations Sensibles Deux ou Trois niveaux de classification : Publiques Exclusives, Sensibles ou confidentielles Limitées ou protégées

Politique de l’Information Eléments à prendre en compte pour chaque niveau : Le support de l’information Le stockage La transmission La destruction

Politique de Sécurité Elle définit les exigences techniques pour la sécurité des systèmes informatiques et des équipements de réseau. Elle définit comment un administrateur système ou réseau doit configurer un système sécurisé.

Politique de Sécurité Identification et authentification Contrôle et droits d’accès. L’audit Les connexions réseaux La protection antivirale Le chiffrement

Politique de Sécurité Mise en place de dérogation. Nécessaire lorsque les obligations de l’entreprise deviennent plus importantes que l’observation de la politique de sécurité/

Politique d’utilisation des ordinateurs Etablit par qui et comment les postes de travail de l’entreprise sont utilisés : Propriété des ordinateurs Propriété de l’information Tolérance d’utilisation des ordinateurs L’absence de confidentialité

Politique d’utilisation d’Internet Souvent incluse dans la politique d’utilisation des ordinateurs, elle peut être traitée séparément en raison de la nature spécifique d’Internet. Elle définit comment Internet peut-être ou ne pas être utilisé dans l’entreprise.

Politique du courrier électronique Elle doit statuer sur l’utilisation du courrier Interne et Externe. Si l’entreprise surveille le courrier électronique en traçant certains mots-clés et certains types de fichiers attachés, elle doit en faire part à ses employés.

Procédures de gestion utilisateur Elles définissent comment les comptes utilisateurs sont gérés Procédure d’arrivée Procédure de transfert Procédure de départ

Procédure d’administration système Détermine comment les services de sécurité et d’administration des systèmes doivent travailler ensemble pour garantir la sécurité des systèmes.

Procédure d’administration système Mise à niveau des logiciels Analyse de vulnérabilité – Correction Contrôle de conformité à la politique Examen des journaux d’évènements

La réponse aux incidents Objectifs de l’ IRP ( Incident Response Procedure) : Protection des systèmes Protection des informations Rétablissement des activités Réduction de l’impact sur l’extérieur Poursuites judicaires

La réponse aux incidents Identification d’événements La procédure d’escalade : Le pouvoir de décision La documentation Le contrôle de l’information Plans de reprise d’activité

Elaboration de la politique Définir ce qui est important Gestion des risques Définir les comportements acceptables Identifier les parties intéressées Définir un plan approprié Développer la politique avec l’entreprise

Application de la politique Obtenir l’adhésion Former Ne pas faire de la sécurité un obstacle au travail de chacun Utiliser de manière efficace la politique : Accorder les projets nouveaux avec l’existant Vérification périodique, audit Révision de la politique

Conclusion En fonction de la taille de l’entreprise la politique de sécurité sera plus ou moins importante. Sa conception et sa mise en œuvre sont des tâches complexes qui nécessitent des compétences diverses. La sécurité est aujourd’hui un métier part entière.