ARCHIVE ATELIER GESTION DE SÉCURITÉ

   1 pascal.bou-nassar 14:38:11
   2 Bonjour tout le monde
   3 Je vais vous présenter la gestion de la sécurité et particulièrement les standards ISO 27001 et ISO 27002
   4 14:38:32
   5 vous avez tous accès à l'adresse
   6 14:38:52
   7 
   8 http://www.lb.auf.org/gs
   9 14:38:53
  10  
  11 yemen.sayour 14:38:55
  12 -----------------------------------------Debut Atelier gestion du securite------------------------------------------------      
  13 
  14 pascal.bou-nassar 14:40:02
  15 Sinon vous pouvez télécharger le support de la présentation (meme contenu)
  16 de la page wiki
  17 14:40:11
  18 Cet atelier est un atelier théorique, j'espère que je vous avez pris votre café :)
  19 14:40:43
  20 Selon le plan : on va introduire dans un premier temps la gestion de la sécurité (GS), les défis et quelques standards,
  21 14:41:00
  22 eddy.andriamanantena a quitté le salon
  23 14:41:02
  24 eddy.andriamanantena a rejoint le salon
  25 14:41:05
  26 
  27 pascal.bou-nassar 14:41:17
  28 Avant de présenter le standard de l'ISO dans la gestion de la sécurité
  29 On est là à la page 1- Intro:
  30 14:41:35
  31 Je reprends ces deux définitions :
  32 14:42:11
  33 
  34 La gestion de la sécurité est un processus permettant d'assurer la sécurité en intégrant les aspects organisationnels et technologiques. Ce processus permet d'identifier les biens à protéger et de développer des stratégies de protection contre les menaces éventuelles.
  35 
  36 La gestion globale de la sécurité (technologique et organisationnelle) a été élaboré dans plusieurs standards tels que : ISO, COBIT, FISMA, etc.
  37 14:42:27
  38 D'après ces définitions, on peut noter :
  39 14:43:09
  40 Dans une approche de gestion de la sécurité, il est nécessaire de prendre en compte différentes dimensions
  41 14:43:25
  42 Evidement : La dimension technologique définissant la sécurité matérielle, logiciel, sécurité des infrastructures 
  43 14:43:39
  44 mais aussi
  45 14:43:54
  46 La dimension organisationnelle définissant les responsabilités, les droits et les rôles.
  47 14:44:00
  48 ainsi que : La dimension juridique définissant la conformité aux lois et aux obligations légales
  49 14:44:14
  50 et la dimension humaines : Par exemple; la formation du personnel à la gestion de la sécurité
  51 14:44:30
  52 En plus,  il existe plusieurs standards dans la gestion de la sécurité (ISO, FISMA, etc)
  53 14:44:55
  54 aussi bien des standards au niveau de la gouvernance de la sécurité telque COBIT de l'ISACA....
  55 14:45:09
  56 A noter que la gouvernance de la sécurité est à un niveau d'abstraction plus élevé que celui de la gestion de la sécurité.
  57 14:45:30
  58 Dans la gestion de la sécurité on passe à la mise en place d'un système de gestion (donc au concret)
  59 14:45:36
  60 d’où les défis de la page suivante : page 1-1
  61 14:45:59
  62 Je reprends le texte :
  63 14:46:08
  64 1-1 : Défis1- Définir :quels sont les biens à protéger ?quelles sont les mesures de sécurité les plus adéquates pour le système ?2- Faut-il choisir un des standards dans la gestion de la sécurité ou combiner plusieurs standards ?3- Comment adapter la sécurité selon les enjeux du système étudié ?
  65 14:46:25
  66 Tous ces défis sont d'une prime importance mais le plus important c'est l'identification des biens à protéger.
  67 14:46:56
  68 Ces biens devront être identifiés par les responsables métier et technique de l'entreprise et non pas uniquement par les RT.
  69 14:47:17
  70 A la fin de la présentation, on va essayer de répondre aux différentes questions de la page défis
  71 14:47:37
  72 Des questions pour l'instant 
  73 14:48:10
  74 vous etes tjs la :)
  75 14:48:54
  76 ok ; on continu
  77 14:49:00
  78 Passons aux principes à la base de la gestion de la sécurité
  79 14:49:19
  80 pages 1-2
  81 14:49:23
  82 l'ANSSI a définit les dix principes à la base de la GS .
  83 14:49:40
  84 six
  85 14:49:49
  86 1- Adapter une démarche globale :
  87 Pour assurer une sécurité de bout en bout,
  88 Il va falloir prendre en compte tous les éléments définissant le contexte de l'entreprise. on parle d'éléments organisationnel, légal, technique, etc.
  89 14:50:09
  90  
  91 yemen.sayour 14:50:22
  92 (17:50:14) mclaude: "Définir quels sont les biens à protéger" On aurait une procédure pour ca?  
  93 
  94 pascal.bou-nassar 14:50:53
  95 Exactement, c'est ce que les standards ISO ou le NIST nous offrent
  96 des bonnes pratiques pour nous assister à identifier ces biens
  97 14:51:04
  98 c'est l'objet de ces standards
  99 14:51:15
 100 Le deuxième principe : 
 101 14:52:06
 102 2- Adapter la sécurité du système d'information selon les enjeux
 103 14:52:11
 104 La sécurité est une question de besoin. Les besoins en sécurité définissent ce qu'il faut faire.
 105 14:52:28
 106 3- Gérer les risques
 107 14:52:48
 108 il est impératif de suivre une démarche par gestion des risques pour répondre aux besoins de sécurité
 109 14:53:08
 110 awa.diouf a quitté le salon
 111 14:53:17
 112 
 113 pascal.bou-nassar 14:53:24
 114 donc identifier les risques inacceptables et les mesures de sécurité qui pourront remédier à ces risques 
 115 la gestion des risques est au coeur de la gestion de la securite --> c'est important de revenir sur l'atelier de 2011 : la gestion des risques :)
 116 14:53:46
 117 4 eme principe
 118 14:54:04
 119 4- Élaborer une politique de Sécurité du Système d'Information (SSI)
 120 14:54:13
 121 shafeek.sumser a rejoint le salon
 122 14:54:25
 123 
 124 pascal.bou-nassar 14:54:38
 125 c'est la a stratégie de sécurité suite à l'étude de gestion des risques : la stratégie définit les acteurs, leurs responsabilités , les droits d'accès etc...
 126 5- Utiliser les produits et prestataires labellisés pour leur sécurité
 127 14:55:01
 128 doan.manh.ha a quitté le salon
 129 14:55:11
 130 
 131 pascal.bou-nassar 14:55:22
 132 et finalement  
 133 6- Viser une amélioration continue
 134 14:55:27
 135 Question pour l'instant ?
 136 14:56:04
 137 doan.manh.ha a rejoint le salon
 138 14:56:20
 139 
 140 pascal.bou-nassar 14:57:20
 141 bon, on continu 
 142 
 143 yemen.sayour 14:57:30
 144 (17:57:19) sekou.diall: Question : Comment voit on le PCA dans cet ensemble ?   
 145 
 146 pascal.bou-nassar 14:58:13
 147 le PCA s'integre dans la gestion de la sécurité
 148 en fait c'est une pyramide ou une hierarchie
 149 14:58:28
 150 Nous avons la gouvernance de la sécurité au sommet de la pyramide
 151 14:58:42
 152 qui sert à aligner les besoins métier et la sécurité 
 153 14:58:59
 154 au coeur de la gouverance il y a la gestion de la sécurité
 155 14:59:12
 156 cette dernière porte sur la mise en oeuvre d'un systeme de gestion de la sécurité
 157 14:59:29
 158 Au coeur de la gestion de la sécurité se trouve la gestion des risques aussi bien la gestion de la continuité
 159 14:59:48
 160 pas de gestion de la sécurité sans gestion de risques
 161 15:00:10
 162 et la gestion de la continuité est un complément à la gestion des risques pour mieux gérer la sécurité
 163 15:00:29
 164 C'est OK sekou.diall
 165 15:02:29
 166 d'autres question ?
 167 15:02:43
 168  
 169 yemen.sayour 15:03:10
 170 non     
 171 
 172 pascal.bou-nassar 15:03:18
 173 ok, passons maintenant aux différents standards
 174 page 1-3
 175 15:03:31
 176 Plusieurs standards ont été définis dans le contexte de la gestion de la sécurité depuis la fin des années 80 tels que
 177 15:03:54
 178 1-3-1 : Le standard ITSEC de l'Union Européenne
 179 15:04:07
 180 et Les critères communs (1-3-2 )
 181 15:04:31
 182 On ne vas pas aborder la description ... c'est juste pour dire que 
 183 15:05:16
 184 ces standards se focalisent sur la dimension technique. 
 185 15:05:32
 186 stefano.amekoudi a quitté le salon
 187 15:05:47
 188 louis-beethoven.montrose a rejoint le salon
 189 15:06:06
 190 
 191 pascal.bou-nassar 15:06:20
 192 et ce sont les standards de l’ISO et du NIST qui ont commencé à prendre en compte les dimensions métier et technologique.
 193 FISMA du NIST  : page 1-3-3
 194 15:06:49
 195 integre plusieurs documents dans la gestion de la sécurité
 196 15:07:16
 197 par exemple :
 198 15:07:24
 199 NIST 800-30 : Le guide de gestion des risques pour les systèmes d’informations.
 200 NIST 800-53 : Le guide des contrôles de sécurité dans les systèmes d’information.
 201 FIPS 199 (Federal Information Processing Standard 199): Standards pour la catégorisation de l’information et des systèmes d’information.
 202 15:07:38
 203 louis-beethoven.montrose a quitté le salon
 204 15:07:46
 205 koye.dansaibo a quitté le salon
 206 15:08:03
 207 
 208 pascal.bou-nassar 15:08:21
 209 c'est l'équivalent de l'ISO 27K que nous allons abordé dans ce qui suit
 210 Passons à la page 2
 211 15:08:57
 212 louis-beethoven.montrose a rejoint le salon
 213 15:09:08
 214 
 215 pascal.bou-nassar 15:09:28
 216 La norme ISO/CEI 27001 décrit les exigences pour la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI).
 217 Le SMSI est destiné à choisir les mesures de sécurité afin d'assurer la protection des biens sensibles d'une entreprise sur un périmètre défini.
 218 15:09:48
 219 La norme dicte également les exigences en matières de mesures de sécurité propres à chaque organisme.
 220 15:10:02
 221 En particulier La norme ISO/CEI 27001 repose sur le modèle de qualité PDCA (Plan-Do-Check-Act) qui est recommandé pour établir un SMSI afin d'assurer une amélioration continue de la sécurité du système d'information (ce que nous aborderons dans la page suivante)
 222 15:10:47
 223 eddy.andriamanantena a quitté le salon
 224 15:10:48
 225 
 226 pascal.bou-nassar 15:11:12
 227 L'ISO/CEI 27002 est un ensemble de bonnes pratiques, destinées à être utilisées par tous ceux qui sont responsables de la mise en place ou du maintien d'un SMSI. nous détaillerons cette norme dans la page 2-2.
 228 Passons à la page 2-1.
 229 15:11:44
 230 le modèle PDCA
 231 15:11:58
 232 eddy.andriamanantena a rejoint le salon
 233 15:12:05
 234 
 235 pascal.bou-nassar 15:12:16
 236 Le contenu de cette page est celui d'une présentation d'AGRM décrivant le modèle PDCA avec un exemple d'application 'audit d'un pare-feu.
 237 Je vous donne 1 mn de lecture.
 238 15:12:36
 239 louis-beethoven.montrose a quitté le salon
 240 15:13:12
 241 louis-beethoven.montrose a rejoint le salon
 242 15:15:07
 243 
 244 pascal.bou-nassar 15:15:27
 245 L'idée derrière le modèle PDCA est le controle de la qualité et la supevision continue du système de supervision.
 246 Des questions 
 247 15:15:51
 248 pardon la supervision continu du système
 249 15:16:10
 250  
 251 yemen.sayour 15:16:26
 252 pas de questions        
 253 
 254 pascal.bou-nassar 15:17:01
 255 OK
 256 En gros , le modèle PDCA de l'ISO 27001 définit dans la phase Plan :
 257 15:17:27
 258 la politque de sécurité + l'identification des risques 
 259 15:17:48
 260 doan.manh.ha a quitté le salon
 261 15:17:52
 262 nguyen.le.duc.huy a quitté le salon
 263 15:17:57
 264 
 265 pascal.bou-nassar 15:18:19
 266 on s'en servira de l'ISO 27002 pour déterminer les différents controles à mettre en place dans la phase DO
 267 la phase check consiste à gérer le SMSI au quotidien et à détecter les incidents en permanence
 268 15:18:50
 269 doan.manh.ha a rejoint le salon
 270 15:19:03
 271 
 272 pascal.bou-nassar 15:19:19
 273 la phase act consiste à mettre en place des actions correctives, préventives ou d’amélioration pour les incidents
 274 Donc , comme déjà cité :
 275 15:19:44
 276 L'ISO/CEI 27002 est un ensemble de bonnes pratiques, 
 277 15:20:02
 278 et couvre 11 domaine d'intervention :
 279 15:20:16
 280 page 2-2
 281 15:20:21
 282 1 La politique de sécurité qui définit la stratégie globale de sécurité
 283 15:20:49
 284 Exemple de politique de sécurité : Les  informations traitées au sein de l'AuF  nécessitent une protection  particulière, permettant d'en maîtriser et d'en limiter la diffusion,  dans des conditions définies dans la présente politique. Il existe trois  niveaux de classification : Secret, Confidentiel, Public.Peuvent  faire l'objet de ces classifications les procédés, objets, documents,  informations,  données informatisées ou fichiers dont la divulgation est  de nature à nuire à l'Agence......
 285 15:21:13
 286 Ce sont des règles de haut niveau
 287 15:21:28
 288 le deuxième domaine d'intervention
 289 15:22:07
 290 l’organisation de la sécurité qui est en rapport avec les différents aspects de gestion (responsabilités, acteurs, rôles)
 291 15:22:21
 292 3- La gestion des biens est des actifs : en rapport avec l'inventaire des bien et la classification des biens à protéger.
 293 15:23:01
 294 la partie qui nous permet d'identifier les biens à protéger...
 295 15:23:35
 296 4- La sécurité du personnel : risque de fraude, vol, utilisation abusive d'équipement (on parle de contrat de travail, sélection du personnel)
 297 15:24:07
 298 toto a rejoint le salon
 299 15:24:35
 300 
 301 pascal.bou-nassar 15:24:43
 302 5- Sécurité physique et environnementale : sécuriser les locaux, le câblage, etc.       
 303 doan.manh.ha a quitté le salon
 304 15:25:07
 305 
 306 pascal.bou-nassar 15:25:08
 307 ( A noter que le standard définit ce qu'il faut faire mais pas comment le faire)
 308 6- Communications et gestion des opérations : les procédures dans la gestion de la sécurité
 309 15:25:34
 310 doan.manh.ha a rejoint le salon
 311 15:25:42
 312 
 313 pascal.bou-nassar 15:25:59
 314 7- le Contrôle d'accès
 315 8- Acquisition des systèmes d'info, développement et maintenance
 316 9- Gestion des incidents de sécurité
 317 10- Gestion de la continuité
 318 11- Conformité
 319 15:26:33
 320 Je propose que vous lisez rapidement la page 2-2 pour qu'on la discute
 321 15:27:07
 322 yemen.sayour a quitté le salon
 323 15:27:40
 324 
 325 arnaud.amelina 15:30:47
 326 mclaude 15:30:16
 327 Question : donc le plan c'est de procéder en PDCA pour chacun des 11 point      
 328  
 329 pascal.bou-nassar 15:30:56
 330 Je prend un exemple de la partie 
 331 6. Communications et gestion des opérations
 332 15:30:58
 333 la sauvegarde 
 334 15:31:04
 335 le standard liste différents elements a prendre en compte pour la sauvegarde
 336 15:31:41
 337 la fréquence des sauvegarde doit etre definie
 338 15:32:05
 339 On doit avoir des sauvegardes hors sites
 340 15:32:32
 341 les sauvegardes devront etre testes regulièrement 
 342 15:32:50
 343 etc...
 344 15:32:54
 345 Voilà pour ISO 27002
 346 15:33:16
 347 des questions 
 348 15:33:38
 349 david.violette a quitté le salon
 350 15:35:29
 351 
 352 pascal.bou-nassar 15:36:28
 353 bon , voila pour les standards ISO27001 et ISO27002
 354 Pour conclure :
 355 15:36:44
 356 il faut aborder autant que possible de standards en matière de gestion de la sécurité 
 357 15:37:10
 358 pour tire profit au max , et adapter au contexte de l'AuF
 359 15:37:25
 360 Des questions 
 361 15:38:34
 362  
 363 arnaud.amelina 15:39:16
 364 pas encore      
 365 
 366 pascal.bou-nassar 15:39:33
 367 ok
 368 On en discutera après sur le salon Tech
 369 15:39:51
 370 Merci à vous tous de votre collaboration
 371 15:40:10
 372 ----------------------------------------- FIN ATELIER SÉCURITÉ ----------------------------------
 373