Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Management du système d’information CER 1 Chafiki Mohammed Amine Prosit 4 I. Dé

Management du système d’information CER 1 Chafiki Mohammed Amine Prosit 4 I. Définition des mots clés  RTO/RPO/DSI Le RTO ou Recovery Time Objective, peut se traduit par la durée maximale d’interruption admissible d’une ressource informatique. Il s’agit du temps maximal acceptable pendant lequel un brique IT (serveur, réseau, ordinateur, application) peut ne pas être fonctionnelle suit à une interruption majeur de service. Cette durée est définie à l’avance, et ce en fonction des besoins de production d’une entreprise vis-à-vis de la ressource informatique. Dans une entreprise qui utilise un ERP pour sa production, si l’ERP vient à ne plus fonctionner, la production est bloquée, mettant en danger la pérennité de l’entreprise. Le RTO de cet ERP devra donc être extrêmement court. De même pour le CRM. En revanche, le RTO d’une application de messagerie instantanée pourra lui être beaucoup plus long, puisque ce n’est pas une application critique. Par exemple, RTO de 2h indique que l’entreprise devra assurer que le temps d’arrêt de son système ne devra dépassé 2h. Le RPO ou Recovery Point Objective, désigne la durée maximum d’enregistrement des données qu’il est acceptable de perdre lors d’une panne, le fait de quantifier le RPO définit en fait les objectifs de sauvegarde, ce qui demande de connaître la volumétrie et les fenêtres de sauvegarde. Par exemple, si le RPO est définit à 2 heures et que la volumétrie est faible, alors on peut considérer qu’une sauvegarde complète en fin de journée suffit. Par exemple, RPO de 2h indique que l’entreprise devra assurer que la perte de ses DATA ne devra pas dépasser 2h de perte. La DSI est la direction des systèmes d’information, il s’agit de la direction responsable du SI d’une entreprise. Elle est en charge de définir l’architecture du SI, concevoir, installer, déployer et exploiter le SI. La DSI est un poste clés dans la stratégie et l’organisation. Sa fonction est d’abord stratégique puisque le DSI a pour objectif de définir et de déployer un système d’information efficace pour appuyer les équipements métiers. Il s’agit aussi d’un poste technique dans le choix des technologies utilisées, tant sur l’informatique que sur les télécommunications. Sa fonction consiste à introduire durablement le matériel technologique nécessaire au bon fonctionnement de l’entreprise.  DMZ En informatique, une zone dématérialisée ou DMZ (en anglais, dematrialized zone) est un sous- réseau séparé du réseau local et isolé de celui-ci d’Internet (ou d’un autre réseau) par un pare- feu. Ce sous-réseau contient les machines étant susceptibles d’être accédées depuis internet, et qui n’ont pas besoin d’accéder au réseau local.  RSSI Le Responsable de la sécurité des systèmes d’information définit et développe la politique de sécurité de l’information de son entreprise. Il est garant de sa mise en œuvre et en assure le suivi. 2 Chafiki Mohammed Amine Prosit 4  Non-Répudiation La non-répudiation est le fait de s’assurer qu’un contrat, notamment un contrat signé via internet, ne peut être remis en cause par l’une des parties. Dans l’économie globale actuelle, où les parties ne peuvent souvent pas être face à face pour signer un contrat, la non-répudiation devient importante pour le commerce en ligne. Dans le domaine de la sécurité des SI, la non-répudiation peut être atteinte seulement en utilisant la technologie du certificat électronique. En effet cette technologie permet de prouver l’identité d’une personne par la possession de sa propre clé privée. La protection de cette clé devient alors une préoccupation pour l’utilisateur.  Malware Un Malware, ou logiciels malveillants et souvent placé avec une technologie Spoofing, est un terme générique utilisé pour désigner une variété de logiciels hostiles ou intrusifs : virus informatique, vers, cheval de troie, ransomware, spyware, adware, scareware.  MEHARI La méthode harmonisée d’analyse des risques (MEHARI) est une méthode de gestion de risque associée à la sécurité de l’information d’une entreprise ou d’un organisme. Elle a été développé initialement par le CLUSIF en France puis le CLUSIQ au Canada. MEHARI répond aux lignes directrices éditées par la norme ISO 27005.  Norme ISO 27000 ISO/CEI 27000 est une norme de sécurité de l’information publiée conjointement en mai 2009 et révisée en 2012, 2016 et 2018 par l’organisation internationale de normalisation (ISO) et la commission électronique internationale (CEI), Ce document (44 pages) a pour titre TECHNOLOGIE DE L’INFORMATION. Il est disponible gratuitement en langue française ou anglaise sur le site de l’ISO. La famille ISO/CEI 27000 comprend les normes de sécurité de l’information publiées conjointement par l’ISO et CEI. Il s’agit d’une introduction et vue globale de la famille des normes relatives au Système de management de la sécurité de l’information (SMSI), ainsi qu’un glossaire des termes communs (2018). Ces normes aident les organisations à assurer la sécurité de leurs informations. Ces normes vous faciliteront le management de la sécurité des informations, notamment les données financières, les informations relatives au personnel ou les données qui vous sont confiées.  PCA Le Plan de continuité d’activité s’emploie à garantir une haute disponibilité au niveau de la production. Il comprend un ensemble de procédure, moyens, équipements et architecture afin de permettre la continuité de l’activité de la société quels que soient les sinistres qui pourraient survenir. Il vise à protéger l’ensemble des services de l’organisation et intervient et en diminuer l’impact et la gravité. 3 Chafiki Mohammed Amine Prosit 4  PRA Plan de reprise d’activité, initié par le service informatique, regroupe donc toutes les mesures qui devront être appliquées, étape par étape, pour permettre aux utilisateurs du SI de retrouver l’accès aux données, aux applications, au réseau l’entreprise. Ce plan doit établir une liste de scénarios, allant d’un incident mineur à l’arrêt total de tout le système informatique.  Critères communs (CC) Les critères communs sont un ensemble de normes (ISO 15408) internationalement reconnu dont l’objectif est d’évaluer de façon impartiale la sécurité des systèmes et logiciels informatiques. Également dénommés COMMON CRITERIA, ce référentiel est né d’un partenariat entre le Canada, les Etats-Unis et l’Europe.  ITIL Information technology infrastructure library / Bibliothèque pour l’infrastructure des technologies de l’information, est un ensemble d’ouvrages recensant les bonnes pratiques du management du SI. Rédigée à l’origine par des experts de l’Office publique britannique du Commerce (OGC). ITIL a fait intervenir à partir de sa version 3 des experts isssus de plusieurs entreprises de services. Il s’agit d’un référentiel méthodologique très large qui aborde les sujets suivants : Comment organiser un SI ? Comment améliorer l’efficacité du SI ? Comment réduire les risques ? Comment augmenter la qualité des services informatiques  Audit L’audit est une expertise professionnelle effectuée par un agent compétent et indépendant aboutissant à un jugement par rapport à une norme sur les états financiers, le contrôle interne, l’organisation, la procédure, ou une opération quelconque d’une entité.  La chaine de logistique La chaîne logistique fait référence à des séries de processus impliqués dans la production et la distribution de bien. Elle représente les étapes qui devraient-être effectuées pour acheminer un produit au consommateur. II. Fiche métier du RSSI I. Missions Le Responsable de la sécurité des systèmes d’information doit définir la politique de sécurité des Systèmes d’Information (SI), veiller à son application et évaluer sa vulnérabilité. Il est charge de mettre en œuvre les différents projets de sécurité. Ainsi, il précise les objectifs et les besoins de la structure dans laquelle il exerce ; tout en analysant les risques du projet. C’est à lui que revient le choix des mesures de sécurité les plus pertinentes afin de diminuer les risques. Sa mission consiste aussi à l’évaluation des 4 Chafiki Mohammed Amine Prosit 4 menaces et des conséquences liées à la sécurité des systèmes d’information. Il doit aussi être en mesure de s’adapter aux nouvelles dimensions et enjeux de la cybersécurité. Il doit également orienter les chefs de projets dans leurs missions, afin que la politique SI soit bien prise en compte par tous. Il a aussi pour mission de veiller à ce que les collaborateurs respectent la politique de sécurité. Ainsi le RSSI met en place des rapports annuels sur les usages et incidents de sécurité. Il est le garant de la sécurité des Systèmes d’Information. II. Compétences requises Le RSSI doit avoir une bonne connaissance des aspects juridiques et réglementaires de la sécurité SI, des normes et référentiels de sécurité. Il doit respecter les bonnes pratiques d’usage des TIC, des normes et standards de performance. De plus, il est impératif qu’il connaisse les logiciels, procédures et standards d’exploitation. Une veille technologique permanente doit également faire partie de ses missions afin de mettre au point de nouveaux projets. Ainsi, il doit être curieux et s’intéresser aux avancées techniques en matière de cybersécurité. De plus, Le Responsable de la Sécurité et des Systèmes d’Information doit être capable de manager et encourager une équipe opérationnelle. Un anglais technique est également requis III. Qualités du responsable de la sécurité des SI  Esprit d’analyse et de synthèse  Proactivité  Bon relationnel  Leadership  Bonne communication IV. Salaire Le salaire d’un RSSI dépend de la taille de l’entreprise pour laquelle uploads/Management/ chafiki-mohammed-prosit-2.pdf