Formation : Sécurité de l'information

• Comprendre ou revisiter les enjeux liés à la sécurité de l'information.

• Passer en revue les bonnes pratiques de la norme ISO 27002.

• Voir concrètement quel usage intéressant vous pouvez en faire pour votre entreprise.

• Étudier les modalités pratiques de mise en œuvre et les aspects méthodologiques.

• Quantifier et qualifier le travail à réaliser et le planning possible.

• Eventuellement construire son plan d'audit à usage interne

• Voir comment auditer ses fournisseurs en infogérance par exemple

• Pouvoir élaborer son tableau de bord pour suivre les implémentations

• Passer en revue le RGS : Référentiel Général de Sécurité de l'ANSSI (Administration Française)

Le public concerné est très large

• Directions informatiques, Directions des systèmes d’information

• Directions des Etudes et de la Production

• Responsables de la sécurité des systèmes d’information, Administrateurs de la sécurité informatique

• Responsables qualité, méthodes et audit

• et, plus généralement, toutes les personnes intervenant dans le processus de sécurisation du système d’information, en maîtrise d’ouvrage ou en maîtrise d’œuvre.

Contexte général

• La sécurité de l'information en entreprise

• Les relations entreprise et administration : le RGS

• Les normes à disposition : leur particularité

• La manière de s'en servir

• Que peut-on certifier ?

• Que peut-on auditer ?

• Comment auditer ses fournisseurs ?

La sécurité en production informatique
Les dix points de la norme sont passés en revue :

• Procédures et responsabilités

• Prestations de services par un tiers

• Planification & acceptation du système

• Protection contre les codes malveillants

• Sauvegarde

• Gestion de la sécurité des réseaux

• Manipulation des supports

• Echange des informations

• Services de commerce électronique

• Surveillance

La sécurité pour les études et le développement
La norme traite des six points suivants :

• Les exigences de sécurité applicables

• Le bon fonctionnement des applications

• Les mesures cryptographiques

• La sécurité des fichiers systèmes

• La sécurité en matière de développement et d'assistance technique

• La gestion des vulnérabilités techniques

La notion fondamentale de "biens" et de "propriétaires"
Ces notions sont très importantes car elles induisent des comportements vertueux favorables à la sécurité. Nous en étudions divers aspects importants :

• Que sont les "biens" au sens de la norme ?

• La responsabilité sur les biens

• La classification des informations

• Le marquage et ce que cela implique

La sécurité et les ressources humaines (RH)
Ce point est aussi traité dans la norme et il apparaît comme central, nous regardons particulièrement :

• Les précautions avant recrutement ou choix d'un prestataire

• Les éléments à suivre pendant la durée du contrat

• Ce à quoi il faut faire attention en cas de mutation ou de fin de contrat

• Les procédures utiles à avoir

La sécurité physique et environnementale
L'accès aux locaux est un enjeu souvent négligé de la sécurité de l'information. Ainsi nous étudions :

• La définition des zones sécurisées

• Les périmètres, le contrôle

• L'accès des livraisons, les sorties

• La sécurité des matériels

• Les choix d'emplacement

• La mise au rebut

Le contrôle d'accès
Quand on pense à la sécurité, on pense au contrôle d'accès. Mais revisiter ce que l'on pense à l'aune de la norme est très salutaire pour valider sa pratique ! Nous regardons :

• Les exigences métiers

• Gestion de l'accès utilisateur

• Responsabilités des utilisateurs

• Contrôle d'accès au réseau

• Contrôle d'accès au système d'exploitation

• Contrôle d'accès aux applications

• Informatique mobile et télétravail

La gestion des incidents de sécurité

• Que faire quand on détecte un problème de sécurité ?

• Comment améliore-t-on la situation ?

La continuité d'activité
Duquesne Group propose par ailleurs un cours complet sur le sujet. Dans le cas de la norme, il s'agit de se focaliser sur les aspects sécuritaires de la continuité. Sans surprise, on passe ici en revue :

• L'appréciation du risque

• L'analyse d'impact

• Le PCA

• Les tests et sensibilisation

La conformité
Ce point ne doit pas être oublié, nous regardons :

• La conformité avec les exigences légales

• La conformité avec les normes de sécurité et normes techniques

• La prise en compte de l'audit du SI

Politique de sécurité
Une fois que tout ce qui précède a été vu, il devient alors clair qu'un politique d'ensemble est nécessaire et qu'elle doit être initiée au plus haut niveau :

• Le document de politique de sécurité

• La révision de la politique

Organisation de la sécurité
Pour que la politique passe en exécution, il faut se doter d'une organisation :

• Engagements, ressources, sensibilisation

• Coordination des services

• Attribution des responsabilités

• Système d’autorisation

• Engagement de confidentialité

• Relation avec les autorités

• Relation avec les spécialistes

• Revue indépendante

Gouvernance

• Construire ses questionnaires d'évaluation

• Mener des évaluations

• Tableaux de bord

Le RGS de l'ANSSI

• Son contenu en dix points

• Son périmètre d'application

• Les six grands principes édictés

• Les "fonctions de sécurité"

• Les points importants à regarder

Ce cours est illustré d'exemples et est commenté par notre spécialiste qui a une expérience concrète sur le terrain auprès de grands groupes internationaux et de PME.