=== ARCHIVE ATELIER GESTION DE SÉCURITÉ ===

{{{#!highlight irc



pascal.bou-nassar 14:38:11
Bonjour tout le monde
Je vais vous présenter la gestion de la sécurité et particulièrement les standards ISO 27001 et ISO 27002
14:38:32
vous avez tous accès à l'adresse
14:38:52

http://www.lb.auf.org/gs
14:38:53
 
yemen.sayour 14:38:55
-----------------------------------------Debut Atelier gestion du securite------------------------------------------------	

pascal.bou-nassar 14:40:02
Sinon vous pouvez télécharger le support de la présentation (meme contenu)
de la page wiki
14:40:11
Cet atelier est un atelier théorique, j'espère que je vous avez pris votre café :)
14:40:43
Selon le plan : on va introduire dans un premier temps la gestion de la sécurité (GS), les défis et quelques standards,
14:41:00
eddy.andriamanantena a quitté le salon
14:41:02
eddy.andriamanantena a rejoint le salon
14:41:05

pascal.bou-nassar 14:41:17
Avant de présenter le standard de l'ISO dans la gestion de la sécurité
On est là à la page 1- Intro:
14:41:35
Je reprends ces deux définitions :
14:42:11

La gestion de la sécurité est un processus permettant d'assurer la sécurité en intégrant les aspects organisationnels et technologiques. Ce processus permet d'identifier les biens à protéger et de développer des stratégies de protection contre les menaces éventuelles.

La gestion globale de la sécurité (technologique et organisationnelle) a été élaboré dans plusieurs standards tels que : ISO, COBIT, FISMA, etc.
14:42:27
D'après ces définitions, on peut noter :
14:43:09
Dans une approche de gestion de la sécurité, il est nécessaire de prendre en compte différentes dimensions
14:43:25
Evidement : La dimension technologique définissant la sécurité matérielle, logiciel, sécurité des infrastructures 
14:43:39
mais aussi
14:43:54
La dimension organisationnelle définissant les responsabilités, les droits et les rôles.
14:44:00
ainsi que : La dimension juridique définissant la conformité aux lois et aux obligations légales
14:44:14
et la dimension humaines : Par exemple; la formation du personnel à la gestion de la sécurité
14:44:30
En plus,  il existe plusieurs standards dans la gestion de la sécurité (ISO, FISMA, etc)
14:44:55
aussi bien des standards au niveau de la gouvernance de la sécurité telque COBIT de l'ISACA....
14:45:09
A noter que la gouvernance de la sécurité est à un niveau d'abstraction plus élevé que celui de la gestion de la sécurité.
14:45:30
Dans la gestion de la sécurité on passe à la mise en place d'un système de gestion (donc au concret)
14:45:36
d’où les défis de la page suivante : page 1-1
14:45:59
Je reprends le texte :
14:46:08
1-1 : Défis1- Définir :quels sont les biens à protéger ?quelles sont les mesures de sécurité les plus adéquates pour le système ?2- Faut-il choisir un des standards dans la gestion de la sécurité ou combiner plusieurs standards ?3- Comment adapter la sécurité selon les enjeux du système étudié ?
14:46:25
Tous ces défis sont d'une prime importance mais le plus important c'est l'identification des biens à protéger.
14:46:56
Ces biens devront être identifiés par les responsables métier et technique de l'entreprise et non pas uniquement par les RT.
14:47:17
A la fin de la présentation, on va essayer de répondre aux différentes questions de la page défis
14:47:37
Des questions pour l'instant 
14:48:10
vous etes tjs la :)
14:48:54
ok ; on continu
14:49:00
Passons aux principes à la base de la gestion de la sécurité
14:49:19
pages 1-2
14:49:23
l'ANSSI a définit les dix principes à la base de la GS .
14:49:40
six
14:49:49
1- Adapter une démarche globale :
Pour assurer une sécurité de bout en bout,
Il va falloir prendre en compte tous les éléments définissant le contexte de l'entreprise. on parle d'éléments organisationnel, légal, technique, etc.
14:50:09
 
yemen.sayour 14:50:22
(17:50:14) mclaude: "Définir quels sont les biens à protéger" On aurait une procédure pour ca?	

pascal.bou-nassar 14:50:53
Exactement, c'est ce que les standards ISO ou le NIST nous offrent
des bonnes pratiques pour nous assister à identifier ces biens
14:51:04
c'est l'objet de ces standards
14:51:15
Le deuxième principe : 
14:52:06
2- Adapter la sécurité du système d'information selon les enjeux
14:52:11
La sécurité est une question de besoin. Les besoins en sécurité définissent ce qu'il faut faire.
14:52:28
3- Gérer les risques
14:52:48
il est impératif de suivre une démarche par gestion des risques pour répondre aux besoins de sécurité
14:53:08
awa.diouf a quitté le salon
14:53:17

pascal.bou-nassar 14:53:24
donc identifier les risques inacceptables et les mesures de sécurité qui pourront remédier à ces risques 
la gestion des risques est au coeur de la gestion de la securite --> c'est important de revenir sur l'atelier de 2011 : la gestion des risques :)
14:53:46
4 eme principe
14:54:04
4- Élaborer une politique de Sécurité du Système d'Information (SSI)
14:54:13
shafeek.sumser a rejoint le salon
14:54:25

pascal.bou-nassar 14:54:38
c'est la a stratégie de sécurité suite à l'étude de gestion des risques : la stratégie définit les acteurs, leurs responsabilités , les droits d'accès etc...
5- Utiliser les produits et prestataires labellisés pour leur sécurité
14:55:01
doan.manh.ha a quitté le salon
14:55:11

pascal.bou-nassar 14:55:22
et finalement  
6- Viser une amélioration continue
14:55:27
Question pour l'instant ?
14:56:04
doan.manh.ha a rejoint le salon
14:56:20

pascal.bou-nassar 14:57:20
bon, on continu	

yemen.sayour 14:57:30
(17:57:19) sekou.diall: Question : Comment voit on le PCA dans cet ensemble ? 	

pascal.bou-nassar 14:58:13
le PCA s'integre dans la gestion de la sécurité
en fait c'est une pyramide ou une hierarchie
14:58:28
Nous avons la gouvernance de la sécurité au sommet de la pyramide
14:58:42
qui sert à aligner les besoins métier et la sécurité 
14:58:59
au coeur de la gouverance il y a la gestion de la sécurité
14:59:12
cette dernière porte sur la mise en oeuvre d'un systeme de gestion de la sécurité
14:59:29
Au coeur de la gestion de la sécurité se trouve la gestion des risques aussi bien la gestion de la continuité
14:59:48
pas de gestion de la sécurité sans gestion de risques
15:00:10
et la gestion de la continuité est un complément à la gestion des risques pour mieux gérer la sécurité
15:00:29
C'est OK sekou.diall
15:02:29
d'autres question ?
15:02:43
 
yemen.sayour 15:03:10
non	

pascal.bou-nassar 15:03:18
ok, passons maintenant aux différents standards
page 1-3
15:03:31
Plusieurs standards ont été définis dans le contexte de la gestion de la sécurité depuis la fin des années 80 tels que
15:03:54
1-3-1 : Le standard ITSEC de l'Union Européenne
15:04:07
et Les critères communs (1-3-2 )
15:04:31
On ne vas pas aborder la description ... c'est juste pour dire que 
15:05:16
ces standards se focalisent sur la dimension technique. 
15:05:32
stefano.amekoudi a quitté le salon
15:05:47
louis-beethoven.montrose a rejoint le salon
15:06:06

pascal.bou-nassar 15:06:20
et ce sont les standards de l’ISO et du NIST qui ont commencé à prendre en compte les dimensions métier et technologique.
FISMA du NIST  : page 1-3-3
15:06:49
integre plusieurs documents dans la gestion de la sécurité
15:07:16
par exemple :
15:07:24
NIST 800-30 : Le guide de gestion des risques pour les systèmes d’informations.
NIST 800-53 : Le guide des contrôles de sécurité dans les systèmes d’information.
FIPS 199 (Federal Information Processing Standard 199): Standards pour la catégorisation de l’information et des systèmes d’information.
15:07:38
louis-beethoven.montrose a quitté le salon
15:07:46
koye.dansaibo a quitté le salon
15:08:03

pascal.bou-nassar 15:08:21
c'est l'équivalent de l'ISO 27K que nous allons abordé dans ce qui suit
Passons à la page 2
15:08:57
louis-beethoven.montrose a rejoint le salon
15:09:08

pascal.bou-nassar 15:09:28
La norme ISO/CEI 27001 décrit les exigences pour la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI).
Le SMSI est destiné à choisir les mesures de sécurité afin d'assurer la protection des biens sensibles d'une entreprise sur un périmètre défini.
15:09:48
La norme dicte également les exigences en matières de mesures de sécurité propres à chaque organisme.
15:10:02
En particulier La norme ISO/CEI 27001 repose sur le modèle de qualité PDCA (Plan-Do-Check-Act) qui est recommandé pour établir un SMSI afin d'assurer une amélioration continue de la sécurité du système d'information (ce que nous aborderons dans la page suivante)
15:10:47
eddy.andriamanantena a quitté le salon
15:10:48

pascal.bou-nassar 15:11:12
L'ISO/CEI 27002 est un ensemble de bonnes pratiques, destinées à être utilisées par tous ceux qui sont responsables de la mise en place ou du maintien d'un SMSI. nous détaillerons cette norme dans la page 2-2.
Passons à la page 2-1.
15:11:44
le modèle PDCA
15:11:58
eddy.andriamanantena a rejoint le salon
15:12:05

pascal.bou-nassar 15:12:16
Le contenu de cette page est celui d'une présentation d'AGRM décrivant le modèle PDCA avec un exemple d'application 'audit d'un pare-feu.
Je vous donne 1 mn de lecture.
15:12:36
louis-beethoven.montrose a quitté le salon
15:13:12
louis-beethoven.montrose a rejoint le salon
15:15:07

pascal.bou-nassar 15:15:27
L'idée derrière le modèle PDCA est le controle de la qualité et la supevision continue du système de supervision.
Des questions 
15:15:51
pardon la supervision continu du système
15:16:10
 
yemen.sayour 15:16:26
pas de questions	

pascal.bou-nassar 15:17:01
OK
En gros , le modèle PDCA de l'ISO 27001 définit dans la phase Plan :
15:17:27
la politque de sécurité + l'identification des risques 
15:17:48
doan.manh.ha a quitté le salon
15:17:52
nguyen.le.duc.huy a quitté le salon
15:17:57

pascal.bou-nassar 15:18:19
on s'en servira de l'ISO 27002 pour déterminer les différents controles à mettre en place dans la phase DO
la phase check consiste à gérer le SMSI au quotidien et à détecter les incidents en permanence
15:18:50
doan.manh.ha a rejoint le salon
15:19:03

pascal.bou-nassar 15:19:19
la phase act consiste à mettre en place des actions correctives, préventives ou d’amélioration pour les incidents
Donc , comme déjà cité :
15:19:44
L'ISO/CEI 27002 est un ensemble de bonnes pratiques, 
15:20:02
et couvre 11 domaine d'intervention :
15:20:16
page 2-2
15:20:21
1 La politique de sécurité qui définit la stratégie globale de sécurité
15:20:49
Exemple de politique de sécurité : Les  informations traitées au sein de l'AuF  nécessitent une protection  particulière, permettant d'en maîtriser et d'en limiter la diffusion,  dans des conditions définies dans la présente politique. Il existe trois  niveaux de classification : Secret, Confidentiel, Public.Peuvent  faire l'objet de ces classifications les procédés, objets, documents,  informations,  données informatisées ou fichiers dont la divulgation est  de nature à nuire à l'Agence......
15:21:13
Ce sont des règles de haut niveau
15:21:28
le deuxième domaine d'intervention
15:22:07
l’organisation de la sécurité qui est en rapport avec les différents aspects de gestion (responsabilités, acteurs, rôles)
15:22:21
3- La gestion des biens est des actifs : en rapport avec l'inventaire des bien et la classification des biens à protéger.
15:23:01
la partie qui nous permet d'identifier les biens à protéger...
15:23:35
4- La sécurité du personnel : risque de fraude, vol, utilisation abusive d'équipement (on parle de contrat de travail, sélection du personnel)
15:24:07
toto a rejoint le salon
15:24:35

pascal.bou-nassar 15:24:43
5- Sécurité physique et environnementale : sécuriser les locaux, le câblage, etc.	
doan.manh.ha a quitté le salon
15:25:07

pascal.bou-nassar 15:25:08
( A noter que le standard définit ce qu'il faut faire mais pas comment le faire)
6- Communications et gestion des opérations : les procédures dans la gestion de la sécurité
15:25:34
doan.manh.ha a rejoint le salon
15:25:42

pascal.bou-nassar 15:25:59
7- le Contrôle d'accès
8- Acquisition des systèmes d'info, développement et maintenance
9- Gestion des incidents de sécurité
10- Gestion de la continuité
11- Conformité
15:26:33
Je propose que vous lisez rapidement la page 2-2 pour qu'on la discute
15:27:07
yemen.sayour a quitté le salon
15:27:40

arnaud.amelina 15:30:47
mclaude 15:30:16
Question : donc le plan c'est de procéder en PDCA pour chacun des 11 point 	
 
pascal.bou-nassar 15:30:56
Je prend un exemple de la partie 
6. Communications et gestion des opérations
15:30:58
la sauvegarde 
15:31:04
le standard liste différents elements a prendre en compte pour la sauvegarde
15:31:41
la fréquence des sauvegarde doit etre definie
15:32:05
On doit avoir des sauvegardes hors sites
15:32:32
les sauvegardes devront etre testes regulièrement 
15:32:50
etc...
15:32:54
Voilà pour ISO 27002
15:33:16
des questions 
15:33:38
david.violette a quitté le salon
15:35:29

pascal.bou-nassar 15:36:28
bon , voila pour les standards ISO27001 et ISO27002
Pour conclure :
15:36:44
il faut aborder autant que possible de standards en matière de gestion de la sécurité 
15:37:10
pour tire profit au max , et adapter au contexte de l'AuF
15:37:25
Des questions 
15:38:34
 
arnaud.amelina 15:39:16
pas encore	

pascal.bou-nassar 15:39:33
ok
On en discutera après sur le salon Tech
15:39:51
Merci à vous tous de votre collaboration
15:40:10
----------------------------------------- FIN ATELIER SÉCURITÉ ----------------------------------

}}}