La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

9 novembre 2005 Groupe de Travail Système d’Information - Sécurité – M. Georges Strutynski R.S.S.I. au Conseil Général de la Côte-d’Or.

Présentations similaires


Présentation au sujet: "9 novembre 2005 Groupe de Travail Système d’Information - Sécurité – M. Georges Strutynski R.S.S.I. au Conseil Général de la Côte-d’Or."— Transcription de la présentation:

1 9 novembre 2005 Groupe de Travail Système d’Information - Sécurité – M. Georges Strutynski R.S.S.I. au Conseil Général de la Côte-d’Or

2 SOMMAIRE La collectivité
Les motivations de la création de la fonction de R.S.S.I. La démarche Le bilan

3 La collectivité

4 Les secteurs prioritaires
Les jeunes La famille et la solidarité L’aménagement et l’animation du territoire Le soutien direct à l’économie

5 Quelques chiffres significatifs
Budget : 420 M € Effectif : personnes Sites : 40 sites Equipe informatique: 30 personnes Parc informatique : postes

6 Les motivations

7 Les motivations Un budget informatique en hausse…
Pour un résultat peu visible Le sentiment d’une forte dépendance par rapport à l’informatique sans réel moyen de contrôle de la part de la Direction Générale

8 Des changements profonds
Dématérialisation des procédures administratives ouverture du SI vers l’extérieur Loi de décentralisation habitudes de travail importance des échanges d’informations

9 Décision Création de la fonction d’audit interne
indépendant du maître d’œuvre

10 La création de postes spécifiques
un Responsable de la Sécurité des Systèmes d’Information deux Conseillers en Gestion Chargés de Mission attachés à la Direction Générale

11 Le RSSI Rattachement à la Direction Générale des Services
Définition de la politique de sécurité Contrôle de la mise en œuvre Communication sur la sécurité dans les services Suivi des évolutions technologiques Rapport auprès du Comité de Pilotage

12 La présentation auprès de la Direction Générale
Etendre la mission aux systèmes d’information Priorité aux missions de la collectivité Couvrir tous les aspects de la sécurité des SI

13 Quelle démarche adopter ?

14 La classification des approches
Une norme une référence Un recueil de bonnes pratiques la mutualisation d’expérience

15

16 La Norme ISO 17799

17 Qu’est-ce que ISO ? Un standard international qui couvre tous les aspects de la sécurité informatique : les équipements, l’exploitation, les communications la politique et les directives de gestion les ressources humaines la sécurité physique les aspects contractuels, juridiques et sociaux.

18 « Beaucoup de systèmes d'information n'ayant pas été conçus pour être sécurisés, la mise en œuvre de moyens techniques de protection a un impact limité et doit être soutenue par une organisation appropriée et des procédures ». Introduction ISO/IEC 17799:2000

19 « L’Information peut exister sous plusieurs formes
« L’Information peut exister sous plusieurs formes. Elle peut être imprimée ou écrite sur du papier, enregistrée sous forme électronique, transmise par le courrier ou par un réseau, montrée sur un film, ou communiquée lors d’une conversation ». ISO/IEC 17799:2000

20 Les objectifs de la sécurité informatique
Protéger les actifs (information et moyens de les traiter) de l’organisme contre les risques et ce, d'une manière adaptée à son environnement et à l'état de son outil informatique.

21 Les objectifs de la sécurité informatique
Adéquation entre Risques Moyens Coût sécurité < Risque encouru

22 Comment établir ses exigences de sécurité ?
Évaluation des risques (menaces, vulnérabilités, probabilité de survenance, estimation impact …) Les lois, réglementations et contrats Les principes, objectifs et impératifs propres à l’activité de l’organisme

23 Information Exploitation et Politique de sécurité L’organisation
Conformité Classification et contrôle des actifs Gestion de la continuité Intégrité Confidentialité Sécurité liée au personnel Gestion des incidents Information Disponibilité Traçabilité Sécurité physique Développement et maintenance Exploitation et Communications Contrôle des accès

24 L’organisation du document
1 2 3 4 4.1 4.2 Domaines (x 11) Objectifs (x 39) Contrôles / exigences / recommandations (x 133) 4.1.1 Chaque domaine peut être contrôlé indépendamment Tous les contrôles ou objectifs ne sont pas obligatoirement applicables

25 Exemple

26 Les objectifs de Sécurité
5 - Politique de sécurité 5.1- document de politique de sécurité de l'information 5.2 - révision et évaluation 6 - Organisation de la sécurité 6.1 - organisation interne 6.2 - acteurs externes 7 - Classification et contrôle des actifs 7.1 - responsabilités liées aux actifs 7.2 - classification de l'information

27 Les objectifs de Sécurité
8 - Sécurité liée au personnel 8.1 - avant la prise de fonction 8.2 - pendant l’exercice de la fonction 8.3 - au changement de fonction 9 - Sécurité physique 9.1 - zones de sécurité 9.2 - sécurité des équipements

28 Les objectifs de Sécurité
10 – Exploitation et communications procédures et responsabilités opérationnelles suivi de la sous-traitance planification et recette des systèmes protection contre les logiciels pernicieux sauvegardes gestion des réseaux manipulation et sécurité des supports échanges d'informations et de logiciels les services de commerce en ligne supervision

29 Les objectifs de Sécurité
11 - Contrôle des accès exigences de l'entreprise pour le contrôle d'accès gestion des accès utilisateurs responsabilités des utilisateurs contrôle de l'accès aux réseaux contrôle de l'accès aux systèmes d'exploitation contrôle de l'accès aux applications informatique mobile et télétravail

30 Les objectifs de Sécurité
12 - Développement et maintenance des systèmes exigence de sécurité des systèmes sécurité des systèmes d'applications mesures cryptographiques sécurité des fichiers systèmes sécurité des processus de développement et de support 13 - Suivi des incidents de sécurité tableau de bord des incidents résolution des incidents et amélioration des mesures de sécurité

31 Les objectifs de Sécurité
14 - Gestion de la continuité aspects de la gestion de la continuité 15 - Conformité conformité aux exigences légales examen de la politique de sécurité et de la conformité technique considérations sur les systèmes d’audits

32 Ce que la norme ISO 17799 n’est pas…
Une norme de certification de sécurité Exclusivement informatique Une liste exhaustive de sécurité Un niveau d’assurance de sécurité Une méthode d’analyse de risque

33 Les facteurs de succès Une politique, des objectifs et des activités de sécurité en phase avec les objectifs globaux de l’organisme. L’appui et l’engagement clairs de la Direction. Une approche conforme à la culture de l'organisme. Une bonne compréhension des impératifs de sécurité.

34 Le bilan

35 Des choix Le choix d’une norme Formation Choix d’un prestataire
approche exhaustive crédibilité choix d’un prestataire Formation norme ISO 17799 état de l’art des techniques de hacking méthodes d’audit Choix d’un prestataire veille technologique état des lieux

36 L’étude initiale Etude technique Etude organisationnelle en externe
en interne Etude organisationnelle sur la base de la norme ISO17799 entretien avec les directions ou services représentatifs

37 La mise en oeuvre Intégration de la sécurité des SI dans l’activité des services Rédaction de la documentation de base Gestion de risque Audits complémentaires Audits récurrents Implication de l’ensemble du personnel

38 L’assistance Nécessité d’être assisté Problème du choix de la société
compétence technique méthode d’audit Problème du choix de la société aspect technique

39 L’organisation de la Sécurité

40 L’intégration dans le fonctionnement des services
Rôle du RSSI le rattachement à la Direction Générale des Services est primordial estomper l’aspect technique… tout en répondant aux questions techniques disponibilité des membres du Comité

41 L’intégration dans le fonctionnement des services
Intégration de la sécurité des SI dans les projets pilotés par le service Informatique pilotés par d’autres services

42 Les documents Charte Périmètre général
DROIT : code du travail, code pénal, informatique et liberté, etc. TECHNIQUE ORGANISATION ET METHODES Politique de sécurité Périmètre général Directives de sécurité Application à un sous-ensemble du système d’information. Charte Guides et procédures Dispositions concrètes.

43 La formalisation Politique globale de sécurité Directives
Référentiel adapté à l’ environnement Concision Appropriation par le comité de pilotage Directives Exprimer les exigences de sécurité Ne pas faire le choix de la solution Par quoi commencer ?

44 La formalisation Charte d’utilisation Passage en CTP
Caractère obligatoire Signature par les utilisateurs

45 La gestion du risque Choix de la méthode MEHARI ou EBIOS trop complets
Préférence pour une approche plus macroscopique Entretiens avec les directeurs Description des missions de la direction Favorise l’appropriation de l’information par les directions

46 Des extraits de livrables

47

48

49

50

51 Point ISO associé État Action
Sécurité du personnel ý Signalisation et réactivité face à un incident de sécurité Sécurité physique Démarche globale contre les risques physiques de vol, d’altération et de destruction Gestion de la mise au rebut des équipements Exploitation Documentation & processus d’exploitation Sensibilisation des utilisateurs à la sécurité Accords de confidentialité pour le personnel Surveillance du nouveau personnel Classification et inventaire Réaliser une analyse des enjeux Réaliser une cartographie détaillée des applications Organisation de la sécurité Mettre en place des clauses de sécurité dans les contrats Politique de sécurité Rédaction d’une politique de sécurité En cours Non pris en compte Réalisé Point ISO associé État Action

52 L’évaluation des risques
Un examen périodique est nécessaire pour : tenir compte des changements dus aux exigences de l’activité et aux priorités. (+ technologies, organisation) considérer de nouvelles menaces et vulnérabilités. confirmer que les contrôles restent efficaces et appropriées. Il faut pratiquer des audits réguliers … La méthode n’est pas dans l’ISO 17799

53 La sensibilisation Session de sensibilisation Démarche nouvelle
Définitions (information, DICT) Présentation de la gestion du risque La sécurité des SI dans les habitudes de travail Présentation de la charte Mesures de protection de l’ordinateur personnel Démarche nouvelle

54 La sensibilisation Présentation de l’utilisation des certificats électroniques signature authentification chiffrement infrastructure exercices pédagogiques Intranet quizz veille à l’attention des utilisations domestiques


Télécharger ppt "9 novembre 2005 Groupe de Travail Système d’Information - Sécurité – M. Georges Strutynski R.S.S.I. au Conseil Général de la Côte-d’Or."

Présentations similaires


Annonces Google