Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

BRT501804-SEC101 Question A : les référentiels A1 : REFERENTIELS POUR GAMELUCK

BRT501804-SEC101 Question A : les référentiels A1 : REFERENTIELS POUR GAMELUCK Quel(s) référentiels des bonnes pratiques de la sécurité informatique vous semble(nt) adapté(s) à la situation de la société GameLuck tel qu’elle est décrite dans le cahier des charges et l’énoncé ? Précisez quels référentiels ne vous semblent pas convenir ? Justifiez vos choix. Je recommande d'adapter la référence ISO 27002 et NIST 800-53 La conformité à la norme ISO 27002 aide Gameluch à s'aligner sur les meilleures pratiques qui augmenteront la productivité globale. Il fournit une implémentation définie, une gestion, une maintenance et une évaluation définies des systèmes de gestion de la sécurité de l'information. Et pour le NIST 800-53, il aide les organisations de tous types à concevoir et à gérer correctement leurs systèmes de sécurité de l'information, et fournit également une liste de contrôles qui prennent en charge le développement de systèmes d'information fédéraux sécurisés et résilients. Ces contrôles sont les normes et directives opérationnelles, techniques et de gestion utilisées par les systèmes d'information pour maintenir la confidentialité, l'intégrité et la disponibilité. De nombreuses références ne semblent pas adaptées à ce cas d'utilisation, telles que : ISO 15408, iso 33001, PCI DSS (lié à la carte de paiement) A2 : MESURES ORGANISATIONNELLES L’audit a préconisé la mise en place de deux mesures de nature organisationnelle. Quelles sont ces mesures et expliquez-en quoi elles sont importantes pour GameLuck ? Mettre à jour sa Politique de sécurité WIFI : Suit un détournement de connexion WIFI, la société a été victime d’un incident de sécurité ayant impliqué le poste de travail d’un ingénieur. En cette période de confinement, les entreprises recourent massivement au télétravail. Mais en dispersant les équipes, on multiplie aussi les risques de cyberattaque et de fuite de données. La mobilité et le télétravail multiplient les échanges et les portes d'accès aux données sensibles de l'entreprise. Une opportunité en or pour les pirates informatiques : le nombre de cyberattaques augmente mathématiquement dès qu'une crise (grève, coronavirus...) se déclenche. D'une part, on a tendance à être moins vigilant lorsqu'on travaille depuis chez soi, où notre pratique personnelle est moins stricte. Deuxièmement, on est plus exposé à des tentatives d'hameçonnage ou de mails frauduleux. Troisièmement, les réseaux personnels sont moins bien protégés face aux cyberattaques que les réseaux privés d'entreprise. Il est donc indispensable de limiter au maximum les risques en mettant en place les bons outils et en instaurant des pratiques sécurisées. Ce que peut faire l’équipe IT de l’entreprise :  Fournir un ordinateur et un téléphone dédié au travail aux employés.  Sensibiliser les télétravailleurs aux risques informatiques.  Fournir une liste de contacts directs et fiables à joindre pour chaque question relative à la sécurité.  Ouvrir un VPN sécurisé pour chaque salarié (Virtual Private Network, réseau informatique virtuel).  Mettre en place une authentification à deux facteurs pour accéder aux espaces de travail (par exemple envoi d'un code par SMS pour se connecter).  Travailler avec des messageries téléphoniques sécurisées.  Favoriser les outils de collaboration en ligne (par exemple Slack pour la messagerie, Dropbox pour les fichiers, Etherpad pour les documents partagés...).  Restreindre l'accès aux données sensibles au minimum de personnes possible.  Fournir une feuille de route à suivre en cas de cyberattaque (qui contacter, procédures d'urgence, etc.).  Faire appel à un prestataire de surveillance d'infrastructure informatique (Nagios, Coservit...). Les règles à suivre par l’employé :  Ne pas se connecter à un réseau Wi-Fi public.  Sécuriser son réseau Wi-Fi, au besoin en renforçant son mot de passe.  Vérifier que son antivirus est à jour, ainsi que tous les modules de sécurité (extensions de navigateurs, correctifs...).  Si on travaille sur son ordinateur personnel, sauvegarder les données relatives à l'entreprise dans une partition dédiée de son disque dur.  Utiliser des mots de passe différents pour chaque service, et surtout entre sites professionnels et sites privés.  Se méfier des courriers électroniques demandant de vérifier ou de renouveler son mot de passe ou identifiant de connexion, même s'ils semblent provenir d'une source fiable (au besoin vérifier directement la demande par téléphone auprès de l'employeur).  Ne pas cliquer sur un lien à la hâte sans avoir vérifié la nature du site et l'identité de l'expéditeur.  Se méfier des demandes inhabituelles, même provenant de sources connues.  Effectuer des sauvegardes régulières dans le cas où vos données seraient siphonnées par un hacker ou ransomware.  Verrouillez votre écran dès que vous vous absentez. A3 : ISMS A3-1 : Expliquez ce qu’est un ISMS Un système de management de la sécurité de l'information (en anglais : Information security management system, ou ISMS) est, comme son nom le suggère, un système de management concernant la sécurité de l'information. L'expression système de management de la sécurité de l'information (SMSI) est désormais utilisée en français. Cette expression désigne un ensemble de politiques concernant la gestion de la sécurité de l’information. Le plus connu des SMSI est ISO/CEI 27001, publié par l'ISO en complément de ISO/CEI 27002 (anciennement référencé ISO/CEI 17799). A3-2 : Pensez-vous qu’un ISMS doit être déployé au sein de la société GameLuck ? Oui, je pense qu’un ISMS doit être déployé au sein de la société GameLuck:  Les administrateurs de sécurité de la technologie de l’information doivent consacrer un tiers de leur temps à aborder les aspects techniques. Le temps restant doit être consacré notamment : au développement de politiques et de processus, à faire le point sur la sécurité, à analyser les risques associés, à élaborer des plans d’urgence, à la sensibilisation aux problèmes liés à la sécurité.  La sécurité dépend plus des personnes que de la technologie.  Les employés sont des menaces plus importantes que les personnes extérieures à l’entreprise.  La sécurité peut être comparée à une chaîne. Elle est aussi résistante que le maillon le plus faible.  Le degré de sécurité dépend de trois facteurs : le risque que vous êtes prêts à prendre, la fonctionnalité du système et le prix que vous êtes prêts à payer.  La sécurité n’est pas un statut ou une image mais un processus continu. Ces faits mènent inévitablement à la conclusion suivante : la gestion de la sécurité n’est pas seulement un problème technique. L’établissement et le maintien des mises à jour continuelles d’un système de gestion de la sécurité de l’information indiquent qu’une entreprise utilise une approche systématique afin d’identifier, d’évaluer et de gérer les risques. Les facteurs critiques d’un SMSI :  La confidentialité : protéger l’information des parties non concernées.  L’intégrité : empêcher la modification de l’information par les personnes qui n’y ont pas accès.  La disponibilité : rendre l’information disponible aux personnes autorisées à y accéder. Ces facteurs auront des implications par la suite pour :  La continuité de l’activité  Minimiser les pertes et les dégâts  Une meilleure compétitivité  Une meilleure rentabilité et une rentrée des cash-flows  Une image respectée par autrui  Une conformité légale L’objectif premier de la gestion de la sécurité de l’information est de mettre en œuvre les mesures adéquates afin de réduire voire éliminer l’impact que les menaces pourraient avoir sur l’organisation. Ainsi, la gestion de la sécurité de l’information permettra la mise en avant des caractéristiques qualitatives des services proposés par l’organisation (la confidentialité, l’intégrité). En minimisant l’impact des incidents, le SMSI assure la continuité de l’activité, la confiance du client, la protection des investissements et des opportunités ou encore la réduction des dégâts auxquels l’entreprise est confrontée. Les entreprises de taille importante, les banques et les instituts financiers, les opérateurs téléphoniques, les hôpitaux et les instituts publics ou gouvernementaux ont diverses motivations pour prendre au sérieux la question de la sécurité de l’information. En effet, les exigences légales qui visent la protection des informations personnelles ou sensibles ainsi que les exigences en matière de la protection des citoyens poussent les entreprises à faire de la sécurité de l’information leur priorité. A3-3 : Justifiez votre réponse en citant quelle(s) mesure(s) des référentiels des bonnes pratiques de la sécurité informatique - ISO 27 et RGS – impose(nt) cela. Compte tenu des circonstances, le développement et la mise en œuvre d’un processus de gestion indépendant est la seule solution. Le développement d’un SMSI basé sur l’ISO/IEC 27001:2005 entraîne les six étapes suivantes : 1. Définition de la politique de sécurité 2. Définition du périmètre du SMSI 3. Évaluation des risques 4. Gestion des risques 5. Sélection des méthodes de vérification appropriées 6. Application A4 : SIEM A4-1 : Expliquez ce qu’est un SIEM Les acronymes SEM, SIM et SIEM ont parfois été utilisés de manière interchangeable. SEM, gestion des évènements de sécurité, s’occupe de la surveillance en temps réél, de la corrélation des événements, des notifications et des vues de la console. SIM, gestion des informations de sécurité, assure le stockage à long terme ainsi que l'analyse, la manipulation et la communication des données des logs et des enregistrements de sécurité du type rassemblé par le logiciel SEM. Les entreprises se uploads/Management/ brt501804-sec101-a1-referentiels-pour-gameluck.pdf