Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

« La défense en profondeur » MANAGEMENT DE LA SECURITE DES SI © copyright – Aoû

« La défense en profondeur » MANAGEMENT DE LA SECURITE DES SI © copyright – Août 2021 Présentation du Formateur Issa brings his expertise gained from exposures to ecosystems as diverse as IT companies, Network security, and Telecommunications . In his various capacities as Information Technology and Network Security Expert, he has demonstrated valuable skills in IT Industry. Issa holds a degree in Telecommunication, Electronics. dialloissa@outlook.com +225 0789 797 209 0556 500 200 https://www.linkedin.com/in/issa-diallo-82820 0142/ PECB Accredited Trainer VSAT&DCME Expert, ISO-IEC27001 LI ISO27005 risk manager ISO27032 LCM MEHARI (risk manager) PRINCE2® ITILv3® pfsense & ALLOT ACTE ISM (Scrum Master) COBIT® DevOps CND CHFI Les consignes pour suivre la formation PRESENTEZ VOUS … DISCLAIMER ! Le but est d’apprendre à vous proteger et non de nuire au autres, CAMPC et Moi même ne sommes nullement responsible de vos actes Être capable de présenter la norme ISO27001, les processus de sécurité qui lui sont associés et la démarche de certification Savoir présenter la norme ISO 27002 et les mesures de sécurité Pouvoir comprendre les contextes d'implémentation des mesures de sécurité et leur intégration dans l'organisation générale de la sécurité  Apprendre à s'exercer à la sélection et l'approfondissement de mesures de sécurité depuis l'appréciation des risques, les pièges à éviter et l’audit de ces mesures Pouvoir disposer d'une vue globale des référentiels existants, des guides d'implémentation ou des bonnes pratiques des mesures de sécurité OBJECTIFS Culture générale dans le domaine l’information PREREQUIS  Toute personne qui souhaite prendre connaissance management de la sécurité des systèmes d’information (normes ISO 27001, 27002 … ), améliorer leur maîtrise des mesures de sécurité de l'information et enrichir leur connaissance des référentiels existants pour faciliter leur mise en œuvre  Opérationnels (techniques ou métiers) et auditeurs souhaitant améliorer leur compréhension des mesures propres à la SSI  RSSI souhaitant avoir un panorama des mesures, organiser leur plan d'action, ou dynamiser les échanges avec les opérationnels  Managers PUBLIC Definition des Termes utilisés Tous les termes employés durant cette formation peuvent être consultés dans le glossaire SANS À l’adresse suivante : https://www.sans.org/security-resources/glossary-of-terms/ LES CYBERATTAQUES, UNE REALITE … https://threatmap.checkpoint.com/ https://threatmap.fortiguard.com/ MODULE #1 : MANAGEMENT DE LA SECURITE DU SYSTEME D’INFORMATION Agenda ISO 27001 A BRIEF HISTORY OF ISO27K PLAN-DO-CHECK-ACT CONTROL CLAUSES IMPLEMENTATION PROCESS CYCLE BENEFITS INFORMATION SECURITY VISION WHO IS RESPONSIBLE? CORPORATE INFORMATION SECURITY POLICY PHYSICAL SECURITY PASSWORD GUIDELINES INTERNET USAGE E-MAIL USAGE SECURITY INCIDENTS RESPONSIBILITIES ISO/IEC 27001 – JTC 1 • ISO/IEC 27001 EST UNE NORME DE SYSTÈME DE GESTION DE LA SÉCURITÉ DE L'INFORMATION (SMSI) PUBLIÉE PAR L’ISO & IEC. • ELLE SPÉCIFIE LES EXIGENCES POUR ÉTABLIR, METTRE EN ŒUVRE, EXPLOITER, SURVEILLER, RÉVISER,MAINTENIR ET AMÉLIORER UN SYSTÈME DE GESTION DE LA SÉCURITÉ DE L'INFORMATION (SGSI) DOCUMENTÉ AU SEIN D'UNORGANISATION • ELLE EST CONÇUE POUR GARANTIR LA SÉLECTION DE CONTRÔLES DE SÉCURITÉ ADÉQUATS ET PROPORTIONNÉS AFIN DE PROTÉGERLES ACTIFS INFORMATIONNELS TRADUIT AVEC WWW.DEEPL.COM/TRANSLATOR (VERSION GRATUITE) SMSI - SCOPE A brief history of ISO27k 1990’s • Information Security Management Code of Practice produced by a UK government- sponsored working group • Became British Standard BS7799 2000’s • Adopted by ISO/IEC • Became ISO/IEC 17799 (later renumbered ISO/IEC 27002) • ISO/IEC 27001 published & certification scheme started Now • Expanding into a suite of information security standards (known as “ISO27k”) • Updated and reissued every few years ISO 27001 • Concerns the management of information security, not just IT/technical security • Formally specifies a management system • Uses Plan, Do, Check, Act (PDCA) to achieve, maintain and improve alignment of security with risks • Covers all types of organizations (e.g. commercial companies, government agencies, not-for-profit organizations) and all sizes • Thousands of organizations worldwide have been certified compliant La roue de deming (Plan-Do-Check-Act) LA ROUE DE DEMING DANS UN SMSI CLAUSES DE CONTRÔLE DISPONIBILI TE INTEGRIT E CONFIDENTIALIT E INFORMATION INFORMATION SECURITY POLICY ORGANISATION OF INFORMATION SECURITY ASSET MANAGEMENT HUMAIN RESOURCE SECURITY PHYSICAL SECURITY COMMUNICATION & OPERATIONS MANAGEMENT ACCESS CONTROL SYSTEM DEVELOPMENT & MAINTENANCE INCIDENT MANAGEMENT INCIDENT MANAGEMENT BUSINESS CONTINUITY PLANNING BUSINESS CONTINUITY PLANNING COMPLIANCE CLAUSES DE CONTRÔLE  Information security policy - management direction  Organization of information security - management framework for implementation  Asset management – assessment, classification and protection of valuable information assets  HR security – security for joiners, movers and leavers  Physical & environmental security - prevents unauthorized access, theft, compromise, damage to information and computing facilities, power cuts CLAUSES DE CONTRÔLE • Communications & operations management - ensures the correct and secure operation of IT • Access control – restrict unauthorized access to information assets • Information systems acquisition, development & maintenance – build security into systems • Information security incident management – deal sensibly with security incidents that arise • Business continuity management – maintain essential business processes and restore any that fail • Compliance - avoid breaching laws, regulations, policies and other security obligations CYCLE DU PROCESSUS DE MISE EN ŒUVRE D’UN SMSI POURQUOI METTRE EN PLACE UN SMSI ? ENGAGEMENT DÉMONTRABLE DE L'ORGANISATION EN MATIÈRE DE SÉCURITÉ CONFORMITÉ LÉGALE ET RÉGLEMENTAIRE MEILLEURE GESTION DES RISQUES CRÉDIBILITÉ, CONFIANCE ET ASSURANCE COMMERCIALES RÉDUCTION DES COÛTS ORIENTATION CLAIRE DES EMPLOYÉS ET SENSIBILISATION ACCRUE VISION DE LA SÉCURITÉ DE L'INFORMATION VISION L'ORGANISATION EST RECONNUE COMME UN LEADER DU SECTEUR DE LA SÉCURITÉ DE L'INFORMATION. MISSION CONCEVOIR, METTRE EN ŒUVRE, EXPLOITER, GÉRER ET MAINTENIR UN SYSTÈME DE GESTION DE LA SÉCURITÉ DE L'INFORMATION CONFORME AUX NORMES INTERNATIONLES INCORPORANT LES BONNES PRATIQUES DE SÉCURITÉ GÉNÉRALEMENT ACCEPTÉES. Comité de gestion de la sécurité de l'information Responsable de la sécurité de l'information/CISO Équipe de réponse aux incidents Équipe de continuité des activités Informatique, juridique/conformité, RH, risques et autres départements Comité d'audit Enfin, et surtout, vous QUI EST RESPONSABLE ? Information security is everyone’s responsibility POLITIQUE DE SÉCURITÉ DE L'INFORMATION DE L'ENTREPRISE La politique doit être signée par le « PDG » et mandatée par la direction générale Elle doit être également disponible sur l'intranet de l’organisme La Politique de sécurité La définition d’une politique de sécurité est cruciale dans la définition d’un programme de sécurité Informatique; Elle doit couvrir tous les aspects de l’entreprise :  Physique ( Camera de surveillance, CA, Salle machine ..)  Technique ( Firewall, SIEM, …  Administrative ( Process, organisation SOC … ) LA SECURITE PHYSIQUE Lire et suivre les politiques et procédures de sécurité Consultez le service d'assistance informatique pour obtenir des conseils sur la plupart des questions de sécurité de l'information. Permettre à des visiteurs non autorisés d'entrer dans les locaux Apporter des armes, des matériaux dangereux/combustibles, des appareils d'enregistrement, etc., en particulier dans les zones sécurisées. Utiliser des appareils informatiques personnels à des fins professionnelles, sauf autorisation expresse de la direction. LA SECURITE PHYSIQUE LA SECURITE PHYSIQUE BONNES PRATIQUE SUR LES MOTS DE PASSE  Utilisez des phrases de passe longues et compliquées - des phrases entières si possible.  Réservez vos phrases de passe les plus forts aux systèmes de haute sécurité (ne réutilisez pas la même phrase de passe partout).  Utilisez un gestionnaire de coffre-fort de mots de passe ( 1Password, Dashline ... ) Utilisez des mots de passe courts ou faciles à deviner Écrire le mot de passe ou le stocker en texte clair Partager les mots de passe par téléphone ou par courrier BONNES PRATIQUE SUR LES MOTS DE PASSE CLIC TO SEE VIDEO UTILISATION DE L’INTERNET  utiliser les installations Internet de l'entreprise uniquement à des fins professionnelles légitimes et autorisées Évitez les sites Web qui pourraient être classés comme obséquieux, racistes, offensants ou illégaux - tout ce qui pourrait être embarrassant. N'accédez pas aux sites de vente aux enchères ou d'achat en ligne, sauf autorisation de votre responsable. Ne piratez pas ! Ne téléchargez pas de logiciels commerciaux ou d'autres documents protégés par le droit d'auteur sans la licence appropriée et l'autorisation de votre responsable. UTILISATION DE L’INTERNET CLIC TO SEE VIDEO – SITE MARCHAND CLIC TO SEE VIDEO – CHEVAL DE TROIE UTILISATION DES E-MAILS LES INCIDENTS DE SECURITE LES INCIDENTS DE SECURITE RESPONSABILITIES  Veillez à ce que votre PC reçoive les mises à jour et les correctifs antivirus  Verrouillez votre clavier (Windows-L) avant de laisser votre PC sans surveillance, et déconnectez-vous à la fin de la journée  Stockez vos informations précieuses (documents papier, CD, clés USB, etc.) en toute sécurité, sous clé  Effectuez régulièrement des sauvegardes de vos informations Remplissez vos obligations en matière de sécurité : o Respectez les lois sur la sécurité et la confidentialité, les droits d'auteur et les licences, les accords de non-divulgation et les contrats o Respectez les politiques et procédures de l'entreprise  Restez à jour en matière de sécurité de l'information : visitez la zone de sécurité de l'intranet lorsque vous avez un moment. MERCI ! uploads/Management/fr-module-1-management-securite-si-ver0-1-17aug2021-0830.pdf