SlideShare uma empresa Scribd logo

Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]

S
Sébastien Rabaud
Tecnologia
1 de 27
« Politiques de Sécurité de l’Information » Club 27001 Toulouse – 12 Avril 2013 Sébastien RABAUD – SCASSI Conseil sebastien.rabaud@scassi.com
Politiques de sécurité Sommaire « Politiques » et « sécurité » Constats Besoins et objectifs des politiques de sécurité Structure / Contenu des politiques de sécurité Mise en œuvre des politiques de sécurité Reproduction interdite sans accord écrit de SCASSI Conseil 2
« Politiques » et « Sécurité » Les politiques dans un organisme – Exemples : • Ressources humaines, Achats / Fournisseurs, Commerciale, Qualité produit, … – Définition : • Stratégie, lignes directrices, règles de fonctionnement, … • Liées à un processus, une activité, … • Documenté … ou pas Les politiques de sécurité – Exemples : • Industrielle, des personnes, des bâtiments, … • De l’Information, des Systèmes d’Information, du SMSI Reproduction interdite sans accord écrit de SCASSI Conseil 3
Politiques de sécurité Constats Un unique document monolithique … « copier / coller » de ISO27002 (« LA PSI ») Un magma de documents hétérogènes : – notes de services, mails, chartes, procédures opérationnelles, … Rien du tout … Pas mis à jour, « poussiéreux », … Inutilisés car … Pas ou peu connu des acteurs pertinents Inutilisable Pas assez précis / applicable pour certains acteurs (administrateurs systèmes, réseaux, chef de projet, …) Trop précis pour d’autres (Chefs de projet, managers, …) Niveau d’application / de conformité inconnu ! Reproduction interdite sans accord écrit de SCASSI Conseil 4
Politiques de sécurité Pourquoi ? Quels sont les besoins et objectifs ? – Une politique de sécurité de l’information pour répondre à des exigences • Clients : – avec référentiel (« Maison », 27001) – … ou sans => « Qu’attends l’auditeur ? » • RGS Reproduction interdite sans accord écrit de SCASSI Conseil 5
Politiques de sécurité Pourquoi ? Quels sont les besoins et objectifs ? – Une politique de sécurité de l’information pour répondre à des exigences • PCI-DSS Reproduction interdite sans accord écrit de SCASSI Conseil 6
Politiques de sécurité Pourquoi ? Quels sont les besoins et objectifs ? – Une politique de sécurité de l’information pour répondre à des exigences • 27001 : Etablissement du SMSI Reproduction interdite sans accord écrit de SCASSI Conseil 7
Politiques de sécurité Pourquoi ? Quels sont les besoins et objectifs ? – Une politique de sécurité de l’information pour répondre à des exigences • 27001 : Annexe A Reproduction interdite sans accord écrit de SCASSI Conseil 8
Politiques de sécurité Pourquoi ? Quels sont les besoins et objectifs ? – Une politique de sécurité de l’information pour répondre à un besoin, une thématique précise • BYOD, réseaux sociaux, … – Une politique de sécurité de l’information pour : • • • • définir, communiquer, partager les règles de sécurité … auprès des bons interlocuteurs avec le bon niveau de détails concernant tout ou partie des domaines de la sécurité de l’information s’adapter aux évolutions – Des risques – De l’organisation • plutôt une cible à atteindre qu’un recueil de ce que l’on est capable de faire Reproduction interdite sans accord écrit de SCASSI Conseil 9
Politiques de sécurité Structure Structure multi-niveaux Niveau Objet Contenu, Exemples 1 Stratégie, Général Principes généraux : Fonction SSI, Rôles et responsabilités SSI 2 Thématiques Domaines SSI : Contrôle d’accès, Traces, Tiers, … 3 Détaillées Réseau, Systèmes, Application n 4 Guides, Procédures SSI S’appliquant à plusieurs processus / services Transverses / « périphériques » Chartes, Note d’organisation, Politique de sécurité applicable aux fournisseurs Autres Reproduction interdite sans accord écrit de SCASSI Conseil 10
Politiques de sécurité Structure Structure multi-niveaux Les politiques thématiques (N2) – regroupent l’ensemble des règles d’une thématique s’appliquant à l’ensemble de l’organisme – sont utilisables / applicables directement en tant que référentiel – peuvent être utilisés pour définir une politique de niveau 3 – Exemples : Contrôle d’accès logique, Gestion des traces, alertes, incidents, … Reproduction interdite sans accord écrit de SCASSI Conseil 11
Politiques de sécurité Structure Structure multi-niveaux Les politiques détaillées (N3) – regroupent les règles d’un « domaine » pour l’ensemble des thématiques (« héritage » du niveau 2), – permet à certains acteurs d’avoir un seul document référent – permet d’instancier, de préciser, d’ajouter certaines règles – Exemples : Réseau, Système, Bureautique, Application RH, … Reproduction interdite sans accord écrit de SCASSI Conseil 12
Politiques de sécurité Structure Structure multi-niveaux Les guides et procédures SSI (N4) – Ne sont pas des politiques mais répondent à des besoins de guides ou procédures « génériques » : • Soit pour répondre à des besoins transverses particuliers. Ex : procédure de déclaration CNIL (à l’usage des responsables de traitement) • Soit pour faciliter l’élaboration, l’amélioration de procédures opérationnelles. Ex : procédure de création d’accès utilisateur Reproduction interdite sans accord écrit de SCASSI Conseil 13
Politiques de sécurité Structure Structure multi-niveaux Les documents « autres, transverses » – Ne sont pas des politiques mais répondent à des besoins particuliers • • • • • Chartes : d’usage du système d’information, éditoriale, … Politiques de sécurité applicables par les tiers Documents de sensibilisation : supports de présentation, … Communications ponctuelles : alertes, notes, … Matrice de correspondance entre un référentiel imposé et la structure documentaire • Document demandé par un client : Politique de protection des données client Reproduction interdite sans accord écrit de SCASSI Conseil 14
Politiques de sécurité Structure Documents de gestion Le référentiel documentaire – Contient notamment les « métadonnées » de la politique Le(s) documents de suivi de la « conformité » – Globale (Référentiel = N2) – Par « domaine » (Référentiel = N2) : Applications RH Reproduction interdite sans accord écrit de SCASSI Conseil 15
Politiques de sécurité Structure Reproduction interdite sans accord écrit de SCASSI Conseil 16
Politiques de sécurité Structure Modèle documentaire Reproduction interdite sans accord écrit de SCASSI Conseil 17
Politiques de sécurité Rôles Rôles « génériques » relatifs à chaque document Exemples Valider Comité Sécurité, Directeur Général Définir et mettre à jour RSSI, Experts Tout ou partie d’un document de politique (ex : la stratégie de contrôle d’accès) Diffuser « Faire appliquer » RSSI RSSI Appliquer, Mettre en œuvre Administrateurs, Chefs de projet, Contrôler, vérifier RSSI, Audit interne Reproduction interdite sans accord écrit de SCASSI Conseil 18
Politiques de sécurité Contenu Des règles ou exigences qui peuvent être en 2 parties : – Décrire ce qu’il faut faire – … et décrire ce qui a été fait ! Reproduction interdite sans accord écrit de SCASSI Conseil 19
Politiques de sécurité Projet ou processus ? Un projet de définition de politique de sécurité, c’est bien … – « Une politique de sécurité sera définie à un instant t » … un projet de « définition et mise en œuvre d’un « processus » de gestion de politique de sécurité », c’est mieux ! – Modalités de gestion de la politique : validation, mise à jour, diffusion, contrôle, … – De manière itérative et progressive « Ne pas tout faire d’un seul coup » Reproduction interdite sans accord écrit de SCASSI Conseil 20
Politiques de sécurité Mise en œuvre Adaptation à l’existant et aux besoins de l’organisme – Au niveau de la structure documentaire • Par rapport à la cartographie des processus • … en fonction du niveau de maturité – Processus RH Politique RH – Processus de gestion des tiers Politique de sécurité des tiers ? – Continuité d’activité – Juridique / Réglementaire Politique de sécurité RH ? Politique de gestion des tiers – Au niveau des activités de gestion • Validation : instances, comités • Diffusion : communication • Contrôle : audit interne Reproduction interdite sans accord écrit de SCASSI Conseil 21
Politiques de sécurité Mise en œuvre Impliquer les « acteurs » dans la définition / rédaction des politiques – « Valideur » – « Appliqueur » Sous forme de groupe de travail avec comme support une base « générique » de règles La « diffusion » des politiques doit être accompagnée d’actions de sensibilisation (« convaincre ») et de formations (« apprendre ») Reproduction interdite sans accord écrit de SCASSI Conseil 22
Politiques de sécurité Mise en œuvre & Amélioration Politiques de sécurité et gestion des risques (1) – « La politique de sécurité doit découler d’une analyse de risques » • La politique générale doit intégrer une description des enjeux principaux issues de l’analyse de risques globale à l’organisme • Les politiques de sécurité détaillées relatives aux domaines métiers / applicatifs doivent être élaborés en fonction des analyses de risques spécifiques. Ex : nature ou durée de conservation de traces liées à des exigences métiers spécifiques, niveau de contrôle d’accès logique adaptée au niveau de sensibilité des données – L’évolution des politiques de sécurité dépends directement des évolutions du risque • Usages : BYOD, réseaux sociaux, … • Menaces : DDOS, APT, … Reproduction interdite sans accord écrit de SCASSI Conseil 23
Politiques de sécurité Mise en œuvre & Amélioration Politiques de sécurité et gestion des risques (2) – Interfaces RISQUES RH R I S Q U E S POLITIQUES IT M1 BYOD, réseaux sociaux Tiers, Cloud … M E S U R E S 24 Reproduction interdite sans accord écrit de SCASSI Conseil
Politiques de sécurité Conclusion « Plusieurs politiques de sécurité » … – La politique de sécurité interne qui décrit les règles et exigences s’appliquant à l’ensemble des activités de l’organisme Ex : Politique de sécurité relative à la gestion des tiers, Politique de protection des données, … – Des documents « périphériques » pouvant être intitulé « politiques de sécurité » destinés à répondre à des besoins spécifiques (souvent « externes ») Ex : Politique de sécurité applicable au tiers (à usage d’annexe contractuelle par exemple), Politique de protection des données clients Reproduction interdite sans accord écrit de SCASSI Conseil 25
Politiques de sécurité Conclusion Point-clés Et vous ? Organisation, rôles, processus de gestion ? Structure documentaire ? Analyse de risques ? Diffusion / Sensibilisation ? Contrôle / Vérification / conformité ? Complétude / profondeur ? Reproduction interdite sans accord écrit de SCASSI Conseil 26
Merci de votre attention ? http://www.scassi.com Sébastien RABAUD – SCASSI Conseil sebastien.rabaud@scassi.com Reproduction interdite sans accord écrit de SCASSI Conseil 27

Recomendados

Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationShema Labidi
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 

Recomendados

Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationShema Labidi
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Eric Clairvoyant, Adm.A.,T.P., CRISC
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiquesNouriddin BEN ZEKRI
 
Next-Gen security operation center
Next-Gen security operation centerNext-Gen security operation center
Next-Gen security operation centerMuhammad Sahputra
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
 
SOC and SIEM.pptx
SOC and SIEM.pptxSOC and SIEM.pptx
SOC and SIEM.pptxSandeshUprety4
 
Gouvernance de la Sécurité
Gouvernance de la SécuritéGouvernance de la Sécurité
Gouvernance de la SécuritéGeoffrey Thiesset
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm
 
ISO 27500
ISO 27500ISO 27500
ISO 27500dihiaselma
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxLeandre Cof's Yeboue
 
SIEM Architecture
SIEM ArchitectureSIEM Architecture
SIEM ArchitectureNishanth Kumar Pathi
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
ISO 27001 - Information security user awareness training presentation - part 3
ISO 27001 - Information security user awareness training presentation - part 3ISO 27001 - Information security user awareness training presentation - part 3
ISO 27001 - Information security user awareness training presentation - part 3Tanmay Shinde
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 

Mais conteúdo relacionado

Mais procurados

Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Eric Clairvoyant, Adm.A.,T.P., CRISC
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Next-Gen security operation center
Next-Gen security operation centerNext-Gen security operation center
Next-Gen security operation centerMuhammad Sahputra
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
 
Gouvernance de la Sécurité
Gouvernance de la SécuritéGouvernance de la Sécurité
Gouvernance de la SécuritéGeoffrey Thiesset
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxLeandre Cof's Yeboue
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 

Mais procurados (20)

Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
Next-Gen security operation center
Next-Gen security operation centerNext-Gen security operation center
Next-Gen security operation center
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)
 
SOC and SIEM.pptx
SOC and SIEM.pptxSOC and SIEM.pptx
SOC and SIEM.pptx
 
Gouvernance de la Sécurité
Gouvernance de la SécuritéGouvernance de la Sécurité
Gouvernance de la Sécurité
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
 
ISO 27500
ISO 27500ISO 27500
ISO 27500
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
 
SIEM Architecture
SIEM ArchitectureSIEM Architecture
SIEM Architecture
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 

Destaque

ISO 27001 - Information security user awareness training presentation - part 3
ISO 27001 - Information security user awareness training presentation - part 3ISO 27001 - Information security user awareness training presentation - part 3
ISO 27001 - Information security user awareness training presentation - part 3Tanmay Shinde
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
ISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureUppala Anand
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview Ahmed Riad .
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
Mise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauMise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauRabeb Boumaiza
 
SIEM presentation final
SIEM presentation finalSIEM presentation final
SIEM presentation finalRizwan S
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Ivan Piskunov
 
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistIvan Piskunov
 
ISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewShankar Subramaniyan
 
ISO 27001 Implementation_Documentation_Mandatory_List
ISO 27001 Implementation_Documentation_Mandatory_ListISO 27001 Implementation_Documentation_Mandatory_List
ISO 27001 Implementation_Documentation_Mandatory_ListSriramITISConsultant
 
ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1Tanmay Shinde
 
Iso 27001 2013 Standard Requirements
Iso 27001 2013 Standard RequirementsIso 27001 2013 Standard Requirements
Iso 27001 2013 Standard RequirementsUppala Anand
 
Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)k33a
 

Destaque (20)

ISO 27001 - Information security user awareness training presentation - part 3
ISO 27001 - Information security user awareness training presentation - part 3ISO 27001 - Information security user awareness training presentation - part 3
ISO 27001 - Information security user awareness training presentation - part 3
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
ISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedure
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
Mise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauMise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseau
 
SIEM presentation final
SIEM presentation finalSIEM presentation final
SIEM presentation final
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
 
Scope of work IT DD
Scope of work IT DDScope of work IT DD
Scope of work IT DD
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001
 
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) Checklist
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
 
ISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process Overview
 
ISO 27001 Implementation_Documentation_Mandatory_List
ISO 27001 Implementation_Documentation_Mandatory_ListISO 27001 Implementation_Documentation_Mandatory_List
ISO 27001 Implementation_Documentation_Mandatory_List
 
ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1
 
Iso 27001 2013 Standard Requirements
Iso 27001 2013 Standard RequirementsIso 27001 2013 Standard Requirements
Iso 27001 2013 Standard Requirements
 
Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)
 
Rapport De PFE
Rapport De PFERapport De PFE
Rapport De PFE
 
Rapport PFE
Rapport PFERapport PFE
Rapport PFE
 

Semelhante a Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]

La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesElodie Heitz
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfresume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfFootballLovers9
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...ASIP Santé
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfkhalid el hatmi
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015Alain Huet
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssiGaudefroy Ariane
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique AnssiAgathe Mercante
 
SMSSI ITIL
SMSSI ITILSMSSI ITIL
SMSSI ITILchammem
 
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.pptESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.pptNourAkka1
 
Asis 2014 fr - présentation
Asis 2014 fr - présentationAsis 2014 fr - présentation
Asis 2014 fr - présentationEric DAVOINE
 
Responsable de la securite des systemes d’information
Responsable de la securite des systemes d’informationResponsable de la securite des systemes d’information
Responsable de la securite des systemes d’informationHarold NGUEGANG
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerCERTyou Formation
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesThierry Pertus
 

Semelhante a Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013] (20)

La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
 
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfresume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
 
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
 
Ageris training 2016
Ageris training 2016Ageris training 2016
Ageris training 2016
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdf
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Ageris software 2016
Ageris software 2016Ageris software 2016
Ageris software 2016
 
Ageris privacy 2016
Ageris privacy 2016Ageris privacy 2016
Ageris privacy 2016
 
SMSSI ITIL
SMSSI ITILSMSSI ITIL
SMSSI ITIL
 
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.pptESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
 
Asis 2014 fr - présentation
Asis 2014 fr - présentationAsis 2014 fr - présentation
Asis 2014 fr - présentation
 
Responsable de la securite des systemes d’information
Responsable de la securite des systemes d’informationResponsable de la securite des systemes d’information
Responsable de la securite des systemes d’information
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementer
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettes
 

Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]

  • 1. « Politiques de Sécurité de l’Information » Club 27001 Toulouse – 12 Avril 2013 Sébastien RABAUD – SCASSI Conseil sebastien.rabaud@scassi.com
  • 2. Politiques de sécurité Sommaire « Politiques » et « sécurité » Constats Besoins et objectifs des politiques de sécurité Structure / Contenu des politiques de sécurité Mise en œuvre des politiques de sécurité Reproduction interdite sans accord écrit de SCASSI Conseil 2
  • 3. « Politiques » et « Sécurité » Les politiques dans un organisme – Exemples : • Ressources humaines, Achats / Fournisseurs, Commerciale, Qualité produit, … – Définition : • Stratégie, lignes directrices, règles de fonctionnement, … • Liées à un processus, une activité, … • Documenté … ou pas Les politiques de sécurité – Exemples : • Industrielle, des personnes, des bâtiments, … • De l’Information, des Systèmes d’Information, du SMSI Reproduction interdite sans accord écrit de SCASSI Conseil 3
  • 4. Politiques de sécurité Constats Un unique document monolithique … « copier / coller » de ISO27002 (« LA PSI ») Un magma de documents hétérogènes : – notes de services, mails, chartes, procédures opérationnelles, … Rien du tout … Pas mis à jour, « poussiéreux », … Inutilisés car … Pas ou peu connu des acteurs pertinents Inutilisable Pas assez précis / applicable pour certains acteurs (administrateurs systèmes, réseaux, chef de projet, …) Trop précis pour d’autres (Chefs de projet, managers, …) Niveau d’application / de conformité inconnu ! Reproduction interdite sans accord écrit de SCASSI Conseil 4
  • 5. Politiques de sécurité Pourquoi ? Quels sont les besoins et objectifs ? – Une politique de sécurité de l’information pour répondre à des exigences • Clients : – avec référentiel (« Maison », 27001) – … ou sans => « Qu’attends l’auditeur ? » • RGS Reproduction interdite sans accord écrit de SCASSI Conseil 5
  • 6. Politiques de sécurité Pourquoi ? Quels sont les besoins et objectifs ? – Une politique de sécurité de l’information pour répondre à des exigences • PCI-DSS Reproduction interdite sans accord écrit de SCASSI Conseil 6
  • 7. Politiques de sécurité Pourquoi ? Quels sont les besoins et objectifs ? – Une politique de sécurité de l’information pour répondre à des exigences • 27001 : Etablissement du SMSI Reproduction interdite sans accord écrit de SCASSI Conseil 7
  • 8. Politiques de sécurité Pourquoi ? Quels sont les besoins et objectifs ? – Une politique de sécurité de l’information pour répondre à des exigences • 27001 : Annexe A Reproduction interdite sans accord écrit de SCASSI Conseil 8
  • 9. Politiques de sécurité Pourquoi ? Quels sont les besoins et objectifs ? – Une politique de sécurité de l’information pour répondre à un besoin, une thématique précise • BYOD, réseaux sociaux, … – Une politique de sécurité de l’information pour : • • • • définir, communiquer, partager les règles de sécurité … auprès des bons interlocuteurs avec le bon niveau de détails concernant tout ou partie des domaines de la sécurité de l’information s’adapter aux évolutions – Des risques – De l’organisation • plutôt une cible à atteindre qu’un recueil de ce que l’on est capable de faire Reproduction interdite sans accord écrit de SCASSI Conseil 9
  • 10. Politiques de sécurité Structure Structure multi-niveaux Niveau Objet Contenu, Exemples 1 Stratégie, Général Principes généraux : Fonction SSI, Rôles et responsabilités SSI 2 Thématiques Domaines SSI : Contrôle d’accès, Traces, Tiers, … 3 Détaillées Réseau, Systèmes, Application n 4 Guides, Procédures SSI S’appliquant à plusieurs processus / services Transverses / « périphériques » Chartes, Note d’organisation, Politique de sécurité applicable aux fournisseurs Autres Reproduction interdite sans accord écrit de SCASSI Conseil 10
  • 11. Politiques de sécurité Structure Structure multi-niveaux Les politiques thématiques (N2) – regroupent l’ensemble des règles d’une thématique s’appliquant à l’ensemble de l’organisme – sont utilisables / applicables directement en tant que référentiel – peuvent être utilisés pour définir une politique de niveau 3 – Exemples : Contrôle d’accès logique, Gestion des traces, alertes, incidents, … Reproduction interdite sans accord écrit de SCASSI Conseil 11
  • 12. Politiques de sécurité Structure Structure multi-niveaux Les politiques détaillées (N3) – regroupent les règles d’un « domaine » pour l’ensemble des thématiques (« héritage » du niveau 2), – permet à certains acteurs d’avoir un seul document référent – permet d’instancier, de préciser, d’ajouter certaines règles – Exemples : Réseau, Système, Bureautique, Application RH, … Reproduction interdite sans accord écrit de SCASSI Conseil 12
  • 13. Politiques de sécurité Structure Structure multi-niveaux Les guides et procédures SSI (N4) – Ne sont pas des politiques mais répondent à des besoins de guides ou procédures « génériques » : • Soit pour répondre à des besoins transverses particuliers. Ex : procédure de déclaration CNIL (à l’usage des responsables de traitement) • Soit pour faciliter l’élaboration, l’amélioration de procédures opérationnelles. Ex : procédure de création d’accès utilisateur Reproduction interdite sans accord écrit de SCASSI Conseil 13
  • 14. Politiques de sécurité Structure Structure multi-niveaux Les documents « autres, transverses » – Ne sont pas des politiques mais répondent à des besoins particuliers • • • • • Chartes : d’usage du système d’information, éditoriale, … Politiques de sécurité applicables par les tiers Documents de sensibilisation : supports de présentation, … Communications ponctuelles : alertes, notes, … Matrice de correspondance entre un référentiel imposé et la structure documentaire • Document demandé par un client : Politique de protection des données client Reproduction interdite sans accord écrit de SCASSI Conseil 14
  • 15. Politiques de sécurité Structure Documents de gestion Le référentiel documentaire – Contient notamment les « métadonnées » de la politique Le(s) documents de suivi de la « conformité » – Globale (Référentiel = N2) – Par « domaine » (Référentiel = N2) : Applications RH Reproduction interdite sans accord écrit de SCASSI Conseil 15
  • 16. Politiques de sécurité Structure Reproduction interdite sans accord écrit de SCASSI Conseil 16
  • 17. Politiques de sécurité Structure Modèle documentaire Reproduction interdite sans accord écrit de SCASSI Conseil 17
  • 18. Politiques de sécurité Rôles Rôles « génériques » relatifs à chaque document Exemples Valider Comité Sécurité, Directeur Général Définir et mettre à jour RSSI, Experts Tout ou partie d’un document de politique (ex : la stratégie de contrôle d’accès) Diffuser « Faire appliquer » RSSI RSSI Appliquer, Mettre en œuvre Administrateurs, Chefs de projet, Contrôler, vérifier RSSI, Audit interne Reproduction interdite sans accord écrit de SCASSI Conseil 18
  • 19. Politiques de sécurité Contenu Des règles ou exigences qui peuvent être en 2 parties : – Décrire ce qu’il faut faire – … et décrire ce qui a été fait ! Reproduction interdite sans accord écrit de SCASSI Conseil 19
  • 20. Politiques de sécurité Projet ou processus ? Un projet de définition de politique de sécurité, c’est bien … – « Une politique de sécurité sera définie à un instant t » … un projet de « définition et mise en œuvre d’un « processus » de gestion de politique de sécurité », c’est mieux ! – Modalités de gestion de la politique : validation, mise à jour, diffusion, contrôle, … – De manière itérative et progressive « Ne pas tout faire d’un seul coup » Reproduction interdite sans accord écrit de SCASSI Conseil 20
  • 21. Politiques de sécurité Mise en œuvre Adaptation à l’existant et aux besoins de l’organisme – Au niveau de la structure documentaire • Par rapport à la cartographie des processus • … en fonction du niveau de maturité – Processus RH Politique RH – Processus de gestion des tiers Politique de sécurité des tiers ? – Continuité d’activité – Juridique / Réglementaire Politique de sécurité RH ? Politique de gestion des tiers – Au niveau des activités de gestion • Validation : instances, comités • Diffusion : communication • Contrôle : audit interne Reproduction interdite sans accord écrit de SCASSI Conseil 21
  • 22. Politiques de sécurité Mise en œuvre Impliquer les « acteurs » dans la définition / rédaction des politiques – « Valideur » – « Appliqueur » Sous forme de groupe de travail avec comme support une base « générique » de règles La « diffusion » des politiques doit être accompagnée d’actions de sensibilisation (« convaincre ») et de formations (« apprendre ») Reproduction interdite sans accord écrit de SCASSI Conseil 22
  • 23. Politiques de sécurité Mise en œuvre & Amélioration Politiques de sécurité et gestion des risques (1) – « La politique de sécurité doit découler d’une analyse de risques » • La politique générale doit intégrer une description des enjeux principaux issues de l’analyse de risques globale à l’organisme • Les politiques de sécurité détaillées relatives aux domaines métiers / applicatifs doivent être élaborés en fonction des analyses de risques spécifiques. Ex : nature ou durée de conservation de traces liées à des exigences métiers spécifiques, niveau de contrôle d’accès logique adaptée au niveau de sensibilité des données – L’évolution des politiques de sécurité dépends directement des évolutions du risque • Usages : BYOD, réseaux sociaux, … • Menaces : DDOS, APT, … Reproduction interdite sans accord écrit de SCASSI Conseil 23
  • 24. Politiques de sécurité Mise en œuvre & Amélioration Politiques de sécurité et gestion des risques (2) – Interfaces RISQUES RH R I S Q U E S POLITIQUES IT M1 BYOD, réseaux sociaux Tiers, Cloud … M E S U R E S 24 Reproduction interdite sans accord écrit de SCASSI Conseil
  • 25. Politiques de sécurité Conclusion « Plusieurs politiques de sécurité » … – La politique de sécurité interne qui décrit les règles et exigences s’appliquant à l’ensemble des activités de l’organisme Ex : Politique de sécurité relative à la gestion des tiers, Politique de protection des données, … – Des documents « périphériques » pouvant être intitulé « politiques de sécurité » destinés à répondre à des besoins spécifiques (souvent « externes ») Ex : Politique de sécurité applicable au tiers (à usage d’annexe contractuelle par exemple), Politique de protection des données clients Reproduction interdite sans accord écrit de SCASSI Conseil 25
  • 26. Politiques de sécurité Conclusion Point-clés Et vous ? Organisation, rôles, processus de gestion ? Structure documentaire ? Analyse de risques ? Diffusion / Sensibilisation ? Contrôle / Vérification / conformité ? Complétude / profondeur ? Reproduction interdite sans accord écrit de SCASSI Conseil 26
  • 27. Merci de votre attention ? http://www.scassi.com Sébastien RABAUD – SCASSI Conseil sebastien.rabaud@scassi.com Reproduction interdite sans accord écrit de SCASSI Conseil 27