La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Réalisé par : Houda El moutaoukil Encadré par : Pr.M.A. El Kiram.

Publié parMounia ZAYDI Modifié depuis plus de 7 années

Présentations similaires

Présentation au sujet: "Réalisé par : Houda El moutaoukil Encadré par : Pr.M.A. El Kiram."— Transcription de la présentation:

1 Réalisé par : Houda El moutaoukil Encadré par : Pr.M.A. El Kiram

2 Introduction Détail de la méthode Mehari Audit de sécurité Organisme et méthode d’audit Conclusion

3 De nos jours les entreprises sont plus en plus connectés tant en interne que dans le monde entier, profitant ainsi de l’évolution des réseaux informatiques. De ce fait, leur systèmes d’information est accessible de l’extérieur pour leurs fournisseurs clients partenaires et administrateur.on peut pas négliger les menaces qui viennent de l’intérieur, ce sui rend la présence d’un audit de sécurité obligatoire. Introduction

4 Un audit de sécurité consiste à s'appuyer sur un tiers de confiance (généralement une société spécialisée en sécurité informatique) afin de valider les moyens de protection mis en œuvre. Un audit de sécurité consiste à s'appuyer sur un tiers de confiance (généralement une société spécialisée en sécurité informatique) afin de valider les moyens de protection mis en œuvre. l'objectif de l'audit est ainsi de vérifier que chaque règle de la politique de sécurité est correctement appliquée et que l'ensemble des dispositions prises forme un tout cohérent. Audit de sécurité

5 Le Club de la Sécurité de l'Information Français (CLUSIF) est une association à but non lucratif d'entreprises et de collectivités réunies en groupes de réflexion et d'échanges autour de différents domaines de la sécurité de l'information : gestion des risques, politiques de sécurité, etc. Le Club de la Sécurité de l'Information Français (CLUSIF) est une association à but non lucratif d'entreprises et de collectivités réunies en groupes de réflexion et d'échanges autour de différents domaines de la sécurité de l'information : gestion des risques, politiques de sécurité, etc. Organisme d’audit de sécurité : CLUSIF

6 Méthode de gestion de risques de type Méhari octave, EBIOS … La méthode harmonisée d'analyse des risques (MEHARI) est une méthode visant à la sécurisation informatique d'une entreprise ou d'un organisme. Elle a été développée et proposée par le CLUSIF… Méthode d’audit de sécurité : MEHARI

7 Mehari fournit un cadre méthodologique, des outils et des bases de connaissance pour :  analyser les enjeux majeurs.  étudier les vulnérabilités.  réduire la gravité des risques.  piloter la sécurité de l'information. But de la méthode

8 Analyser les enjeux majeurs : Dans MEHARI, on appelle " Analyse des enjeux de la sécurité " :  L'identification des dysfonctionnements potentiels pouvant être causés ou favorisés par un défaut de sécurité,  L'évaluation de la gravité de ces dysfonctionnements. Cette analyse des enjeux vise à :  Etre sélectif dans les moyens à mettre en œuvre pour la sécurité de l'information et ne pas engager de dépenses là où les enjeux sont faibles.  Éviter des contraintes inutiles aux utilisateurs  Définir les priorités But de la méthode

9 Etudier les vulnérabilités : L'analyse des vulnérabilités revient à identifier les faiblesses et les défauts des mesures de sécurité. En pratique, il s'agit d'une évaluation de la qualité de mesures de sécurité. Cette analyse des vulnérabilités permet de :  Corriger les points faibles inacceptables par des plans d'action immédiats.  Évaluer l'efficacité des mesures mises en place et garantir leur efficacité.  préparer l'analyse des risques induits par les faiblesses mises en évidence.  Se comparer à l'état de l'art ou aux normes en usage. But de la méthode

10 réduire la gravité des risques : Cette analyse des risques vise, le plus souvent :  Définir les mesures les mieux adaptées au contexte et aux enjeux : il peut s'agir d'une démarche de management traditionnel par " politique de sécurité " orientée et alimentée par une analyse de risques.  Mettre en place un management des risques et garantir que toutes les situations de risques critiques ont été identifiées et prises en compte : il s'agit alors d'une politique de management de la sécurité par le management des risques. But de la méthode

11 piloter la sécurité de l'information : piloter la sécurité de l'information : Dans ce domaine, MEHARI apporte : Un cadre adapté à différentes démarches et différentes sortes de management de la sécurité :  Les modes de pilotage de la sécurité peuvent évoluer avec le temps  Les demandes du management peuvent évoluer en fonction de la maturité de l’entreprise Une variété d’indicateurs et de synthèses :  Niveaux de vulnérabilités et de risques,  relatifs aux points de contrôles ISO 17799:2005 (repris dans ISO 27001),  tableau de bord des risques critiques. But de la méthode

12 Mehari s'articule autour de 3 types de livrables :  le Plan Stratégique de Sécurité (PSS)  les Plans Opérationnels de Sécurité (POS)  le Plan Opérationnel d'Entreprise (POE) Démarche de la méthode

13 le Plan Stratégique de Sécurité (PSS) : Le Plan Stratégique de Sécurité fixe les objectifs de sécurité ainsi que les métriques permettant de les mesurer. C'est à ce stade que le niveau de gravité des risques encourus par l'entreprise est évalué. Il définit la politique de sécurité ainsi que la charte d'utilisation du SI pour ses utilisateurs. Démarche de la méthode

14 les Plans Opérationnels de Sécurité (POS) : Les Plans Opérationnels de Sécurité définissent pour chaque site les mesures de sécurité qui doivent être mises en œuvre. Pour cela, ils élaborent des scénarios de compromission et audite les services du SI. Sur la base de cet audit, une évaluation de chaque risque (probabilité, impact) est réalisée permettant par la suite d'exprimer les besoins de sécurité, et par la même les mesures de protections nécessaires. Enfin, une planification de la mise à niveau de la sécurité du SI est faite. Démarche de la méthode

15 le Plan Opérationnel d'Entreprise (POE): le Plan Opérationnel d'Entreprise (POE): Le Plan Opérationnel d'Entreprise assure le suivi de la sécurité par l'élaboration d'indicateurs sur les risques identifiés et le choix des scénarios de catastrophe contre lesquels il faut se prémunir. Démarche de la méthode

16 RISICARE est une approche associée à un outillage, s'appuyant sur la méthode Mehari 2010 et qui permet d'améliorer la productivité et la justesse d'une démarche de gestion des risques. Mehari les outils : RISICARE

17 Risicare s'appuie sur les caractéristiques suivantes :  L'utilisation de la méthode Mehari développée au sein du CLUSIF comme modèle d'analyse des risques.  La possibilité de personnaliser les bases de connaissances, voire de construire ses propres bases de connaissances.  Une relation entre un audit de l'existant et la quantification de scénarios de risques.  Une prise en compte exhaustive et automatique des multiples possibilités de survenance de ces scénarios.  L'élaboration de plans d'action cohérents optimisant la réduction de l'ensemble des risques.  Une aide en ligne très développée avec l'accès à un ensemble de rubriques méthodologiques et techniques. Caractéristiques de Risicare

18 Conclusion EBIOSMEHARI Publié en 1997, créée en 1995développée depuis 1995 Structure Étude du contexte 1. L’identification des risques Étude des événements redoutés Étude des scénarios de menaces Étude des risques2. L’estimation des risques Étude des mesures de sécurité3. La gestion des risques Outils Guide pratiqueDocuments pratiques Logiciel libre et gratuitLogiciel gratuit FormationVidéos Etudes de cas Outils de calculs Excel intégrés au logiciel Club EBIOS Finalement, on se rend compte que ces deux méthodes abordent les même sujets, mais peut être sous un angle un peu plus fonctionnel,la méthode EBIOS et plus “managériale” que la méthode MEHARI.

19 Merci Pour Votre Attention Attention

Télécharger ppt "Réalisé par : Houda El moutaoukil Encadré par : Pr.M.A. El Kiram."

Présentations similaires

Www.hcp.ma 1 L’INFORMATION STATISTIQUE INFRA ANNUELLE, UNE COMPOSANTE ESSENTIELLE DE L’ANALYSE DE LA CONJONCTURE Ali EL AKKAOUI Rabat, le 21 octobre 2010.

1 L’INFORMATION STATISTIQUE INFRA ANNUELLE, UNE COMPOSANTE ESSENTIELLE DE L’ANALYSE DE LA CONJONCTURE Ali EL AKKAOUI Rabat, le 21 octobre 2010.
L’Intéroperabilité. Sommaire  Définition  Développer l’intéroperabilité  Les différents degrés d’opérabilité  La nécessité des normes  Sources.

L’Intéroperabilité. Sommaire  Définition  Développer l’intéroperabilité  Les différents degrés d’opérabilité  La nécessité des normes  Sources.
©1/16 Chapitre 5 : Le gestionnaire en tant que planificateur 5.1Qu’est-ce que la planification? 5.2 Pourquoi les gestionnaires doivent-ils planifier? 5.3L’élaboration.

©1/16 Chapitre 5 : Le gestionnaire en tant que planificateur 5.1Qu’est-ce que la planification? 5.2 Pourquoi les gestionnaires doivent-ils planifier? 5.3L’élaboration.
Étude comparative des outils de sensibilisation et d'accompagnement des entreprises au développement durable Isabelle Blaes Frédéric Richard CETIM 18 septembre.

Étude comparative des outils de sensibilisation et d'accompagnement des entreprises au développement durable Isabelle Blaes Frédéric Richard CETIM 18 septembre.
CLEF Pilote Service Emploi Demandeur emploi OFPPT Centre de formation Fédérations Entreprises Administration Secrétaire Activ’ Action Formateur Cellule.

CLEF Pilote Service Emploi Demandeur emploi OFPPT Centre de formation Fédérations Entreprises Administration Secrétaire Activ’ Action Formateur Cellule.
Présentation fonctionnelle de la plateforme lesexigences.com.

Présentation fonctionnelle de la plateforme lesexigences.com.
PLATEFORME Qualité, Risque et Vigilance. CONTEXTE Les établissements de santé et du médicosocial génèrent des risques divers, certains sont liés aux soins.

PLATEFORME Qualité, Risque et Vigilance. CONTEXTE Les établissements de santé et du médicosocial génèrent des risques divers, certains sont liés aux soins.
Refonte du portail eaufrance Présentation du cadre de référence pour avis GCIB – 14/10/2014 – Anne Macaire.

Refonte du portail eaufrance Présentation du cadre de référence pour avis GCIB – 14/10/2014 – Anne Macaire.
PLAN Introduction 1. Le concept GIMSI I. La démarche de construction du tableau de bord II. Exemples concrètes conclusion.

PLAN Introduction 1. Le concept GIMSI I. La démarche de construction du tableau de bord II. Exemples concrètes conclusion.
Réalisé par : Fairouz ichou Imane Errajil.  Introduction  L’ISO en quelque mots  Définition de l’ISO 9001V2000  L’évolution de l’ISO 9001  Principes.

Réalisé par : Fairouz ichou Imane Errajil.  Introduction  L’ISO en quelque mots  Définition de l’ISO 9001V2000  L’évolution de l’ISO 9001  Principes.
DOTC Loire Vallée du Rhône - DFI - Antoine MICHE

DOTC Loire Vallée du Rhône - DFI - Antoine MICHE
BTS Comptabilité et Gestion

BTS Comptabilité et Gestion
Outils de suivi des compétences

Outils de suivi des compétences
épreuve E6 questionnement possible

épreuve E6 questionnement possible
Comment Sécuriser Le Système d’information de son entreprise

Comment Sécuriser Le Système d’information de son entreprise
Atelier « Transition énergétique et écologique : L’Education à l’Environnement et au Développement Durable au service des territoires » - 22 septembre.

Atelier « Transition énergétique et écologique : L’Education à l’Environnement et au Développement Durable au service des territoires » - 22 septembre.
1.1 La définition de la déontologie Textes de référence § 3.1 Principes et cadre d’intervention § Déontologie a) une attitude générale.

1.1 La définition de la déontologie Textes de référence § 3.1 Principes et cadre d’intervention § Déontologie a) une attitude générale.
La francisation des entreprises au Québec

La francisation des entreprises au Québec
Portfolio électronique au BAA

Portfolio électronique au BAA
LE PROJET D’ETABLISSEMENT CAARUD

LE PROJET D’ETABLISSEMENT CAARUD

Présentations similaires

Annonces Google