Télécharger la présentation
1
La politique de Sécurité
2
La politique de Sécurité
Définit la manière dont la sécurité doit être mise en œuvre dans une entreprise. Responsabilise tout le monde. Chacun doit comprendre ce que l’on attend de lui. Etablit des règles de configuration des systèmes et la façon dont les employés doivent agir.
3
Stratégies Quatre stratégies sont possibles :
Tout couper : L’approche paranoïaque Tout couper et autoriser ce qui est utilisé : L’approche prudente Tout autoriser et couper ce qui semble dangereux : L’approche permissive Tout autoriser : L’approche laxiste
4
Stratégies La politique de sécurité doit être applicable et réaliste !
La mise en place d’une collaboration de tous les utilisateurs du système d’information est indispensable pour la réussite et la pérennité du projet.
5
Le but Les objectifs doivent être précisément définis.
Le document qui traite le sujet doit clairement énoncer pourquoi la procédure a été créée et quel avantage l’entreprise espère en obtenir.
6
Le champ d’application
Chaque procédure doit indiquer les domaines auquel elle s’applique : Ordinateurs Infrastructure réseau Utilisateurs
7
Responsabilité Un responsable de la mise en œuvre des règles définies par la politique doit être désigné. Cette personne doit être correctement formé et connaître les objectifs des procédures qu’elle applique.
8
Politiques et procédures :
Politique de l’Information Politique de Sécurité Politique d’utilisation des ordinateurs Politique d’utilisation d’Internet Procédures de gestion utilisateurs Procédure d’administration système Procédure de gestion de la configuration
9
Politique de l’Information
Elle détermine quelles sont les informations sensibles dans l’entreprise et comment celles-ci doivent être protégées.
10
Politique de l’Information
Identification des Informations Sensibles Deux ou Trois niveaux de classification : Publiques Exclusives, Sensibles ou confidentielles Limitées ou protégées
11
Politique de l’Information
Eléments à prendre en compte pour chaque niveau : Le support de l’information Le stockage La transmission La destruction
12
Politique de Sécurité Elle définit les exigences techniques pour la sécurité des systèmes informatiques et des équipements de réseau. Elle définit comment un administrateur système ou réseau doit configurer un système sécurisé.
13
Politique de Sécurité Identification et authentification
Contrôle et droits d’accès. L’audit Les connexions réseaux La protection antivirale Le chiffrement
14
Politique de Sécurité Mise en place de dérogation.
Nécessaire lorsque les obligations de l’entreprise deviennent plus importantes que l’observation de la politique de sécurité/
15
Politique d’utilisation des ordinateurs
Etablit par qui et comment les postes de travail de l’entreprise sont utilisés : Propriété des ordinateurs Propriété de l’information Tolérance d’utilisation des ordinateurs L’absence de confidentialité
16
Politique d’utilisation d’Internet
Souvent incluse dans la politique d’utilisation des ordinateurs, elle peut être traitée séparément en raison de la nature spécifique d’Internet. Elle définit comment Internet peut-être ou ne pas être utilisé dans l’entreprise.
17
Politique du courrier électronique
Elle doit statuer sur l’utilisation du courrier Interne et Externe. Si l’entreprise surveille le courrier électronique en traçant certains mots-clés et certains types de fichiers attachés, elle doit en faire part à ses employés.
18
Procédures de gestion utilisateur
Elles définissent comment les comptes utilisateurs sont gérés Procédure d’arrivée Procédure de transfert Procédure de départ
19
Procédure d’administration système
Détermine comment les services de sécurité et d’administration des systèmes doivent travailler ensemble pour garantir la sécurité des systèmes.
20
Procédure d’administration système
Mise à niveau des logiciels Analyse de vulnérabilité – Correction Contrôle de conformité à la politique Examen des journaux d’évènements
21
La réponse aux incidents
Objectifs de l’ IRP ( Incident Response Procedure) : Protection des systèmes Protection des informations Rétablissement des activités Réduction de l’impact sur l’extérieur Poursuites judicaires
22
La réponse aux incidents
Identification d’événements La procédure d’escalade : Le pouvoir de décision La documentation Le contrôle de l’information Plans de reprise d’activité
23
Elaboration de la politique
Définir ce qui est important Gestion des risques Définir les comportements acceptables Identifier les parties intéressées Définir un plan approprié Développer la politique avec l’entreprise
24
Application de la politique
Obtenir l’adhésion Former Ne pas faire de la sécurité un obstacle au travail de chacun Utiliser de manière efficace la politique : Accorder les projets nouveaux avec l’existant Vérification périodique, audit Révision de la politique
25
Conclusion En fonction de la taille de l’entreprise la politique de sécurité sera plus ou moins importante. Sa conception et sa mise en œuvre sont des tâches complexes qui nécessitent des compétences diverses. La sécurité est aujourd’hui un métier part entière.
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.